Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline cipher  
#1 Оставлено : 23 июня 2009 г. 19:14:54(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Здравствуйте!

Нам необходимо организовать публикаю и доступ к сертификатам и CRL.
Есть некоторое количество территориально распределённых филиалов. Есть центральный офис, где расположен УЦ. Каналы между центральным офисом и филиалами слабые.
Мы хотим организовать следующую схему PKI... В филиалах должна быть какая-то часть PKI, откуда будут доступны сертификаты и CRL. А в центральном офисе должен быть организован АРМ менеджера, который будет управлять публикацией в эту часть PKI, которые расположены в филиалах.

Полазив в Интернете я пришёл к выводу, что эта самая часть PKI может быть репозиторий (сетевой справочник). Использование Active Directory в качестве такого репозитория не представляется возможным. Нашёл информацию, что в качестве такого репозитория может использоваться каталог X.500 с использованием LDAP.

Но что представляет собой этот каталог X.500 с использованием LDAP?! Это какое-то программное обеспечение или что-то ещё?

Может быть есть ещё какие-то решения по организации такой схемы?

Заранее спасибо всем ответившим!
Offline Татьяна  
#2 Оставлено : 23 июня 2009 г. 20:14:24(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
а какой именно ldap вы хотите использовать? чем именно не устраивает AD?

у нас есть два варианта модуля экспорта в AD один из них при выпуске сертификата автоматически помещает его в специальную директорию в AD(для всех сертификатов директория одна), другой при выпуске сертификата прописывает его пользователю AD (в стандартное место для хранения сертификата этого пользователя).
Татьяна
ООО Крипто-Про
Offline cipher  
#3 Оставлено : 23 июня 2009 г. 20:40:27(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Здравствуйте!

Я пока плохо представляю какой именно LDAP использовать... AD к сожалению не представляется возможным использовать (почему? Мне не известно.)

Мне интересно, что представялет из себя Каталог X.500 и как он организован и вообще как работает и может ли КриптоПро УЦ с ним взаимодействовать?

Заранее спасибо!
Offline Юрий Маслов  
#4 Оставлено : 23 июня 2009 г. 20:54:39(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
X.500 - это стандарт глобального каталога. Стандарт X.500 представляет собой набор спецификаций, регламентирующих взаимодействие между различными атрибутами каталогов в распределенной сетевой среде и приложениях на разных программно-аппаратных платформах.
LDAP - это протокол.

Т.е. это набор описаний и требований.

Соответственно, есть различные программные реализации. К ним относятся, например, и MS AD от Microsoft и OpenLDAP и Directory Server от компании iPlanet и IDDS фирмы Innosoft и NDS eDirectory Server for NT от Novell и Global Directory Server от Critical Path и eTrust Directory от Computer Associates и DirX корпорации Siemens и Oracle Internet Directory и т.д.
Как видите, реализаций много...
С уважением,
КРИПТО-ПРО
Offline cipher  
#5 Оставлено : 23 июня 2009 г. 21:35:28(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Благодорю за подробное разъяснения и примеры реализаций!

Как я понимаю, то применительно к моей вышеописанной схеме можно ещё рассмотреть варианты:

1. с организацией FTP серверов в филиалах;

2. с организацией Web серверов в филиалах;

Как я понимаю, то в этих случаях применяется двухшаговый метод наполнения, т.е. УЦ публикует в какой-то каталог, а потом происходит копирование из каталога на серверы.

Поддерживает ли КриптоПро УЦ такие варианты?

Заранее спасибо за ответ!
Offline Юрий Маслов  
#6 Оставлено : 23 июня 2009 г. 22:01:29(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Думаю, что экономически целесообразнее рассмотреть следующий вариант:

В центральном офисе у Вас разворачивается ПАК "КриптоПро УЦ" с включенным доступом к веб-интерфейсу зарегистрированных пользователей и включенной опцией доступа к перечню сертификатов. Это все входит в предустановленные возможности "КриптоПро УЦ".
Менеджерам в филиалах Вы выдаете ключи и сертификаты.
Менеджеры в филиалах получают возможность доступа (через веб-интерфейс "КриптоПро УЦ") к списку всех сертификатов и CRL. Причем с возможностью фильтровать список сертификатов по различным параметрам и сохранение выборки в файлы на компьютер менеджера филиала.
Менеджеры филиалов в установленное регламентом время (например, один раз в сутки) заходит в свои АРМ (в веб-интерфейс "КриптоПро УЦ") и получает список или выборку из него и сохраняет на свой локальный диск.
Потом копирует файлы в организованный Web сервер или FTP сервер в своем филиале.

Как видите, не трубется организовать сервера каталогов, тратить на них деньги, а цель будет достигнута.
С уважением,
КРИПТО-ПРО
Offline cipher  
#7 Оставлено : 24 июня 2009 г. 18:46:57(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Благодорю за подробное описание решения с использованием КриптоПРо УЦ!

1. А вы не подскажете... умеют ли FTP или WEB сервера осуществлять синхронизацию (репликацию содержимого)?

2. Как на ваш взгляд... вместо нескольких менеджеров в филиалах, возможно организовать АРМ зарег. пользователя в центральном офисе. И что бы с этого АРМа производилось копирование сертификатов и СОС на FTP или WEB сервера филиалов?

Заранее Спасибо!
Offline Юрий Маслов  
#8 Оставлено : 24 июня 2009 г. 19:38:10(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
1. Нет, не умеют т.к. зачем и с кем и чего сихнронизировать или реплицировать.
2. Конечно возможно!!!!
С уважением,
КРИПТО-ПРО
Offline cipher  
#9 Оставлено : 24 июня 2009 г. 19:58:44(UTC)
cipher

Статус: Участник

Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28

Спасибо за ответы!

Синхронизиовать (реплицировать) необходимо... В случае, если у нас один АРМ зарег. пользователя и с него осуществляется копирование на один FTP или WEB сервер, то чтобы содержимое других FTP или WEB серверов в других филиалах было одинаковым.

1. Если я правильно понял, то FTP или WEB серверы не умеют осуществлять синхронизацию (репликацию) своего содержимого между собой?
2. Тогда в этом случае, реализации Каталога Х.500 с LDAP имеют преимущество в плане возможности синхронизации (репликации)?

Заранее спасибо!

Offline Юрий Маслов  
#10 Оставлено : 24 июня 2009 г. 20:08:58(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Наверное. Это уже не относится к криптографической защите информации, тут мы не копенгагены :-)
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.