ПАК «КриптоПро УЦ» версии 2.0 является новым продуктом, основанным на продолжительном опыте разработки и эксплуатации ПАК «КриптоПро УЦ» предыдущих версий, история которых идёт с 2003 года, когда ПАК «КриптоПро УЦ», первым в Российской Федерации, получил сертификат соответствия ФСБ.
С момента своего создания ПАК «КриптоПро УЦ» неоднократно модернизировался, но технические ограничения, обусловленные архитектурой комплекса, привели к необходимости разработки ПАК «КриптоПро УЦ» версии 2.0, который объединил накопленный опыт с современными подходами и технологиями.
В результате, ПАК «КриптоПро УЦ» версии 2.0 - это продукт нового поколения, который обладает следующими преимуществами по сравнению со своим предшественником:
- Уменьшает издержки предприятия на развёртывание и обслуживание УЦ
- Экономит время сотрудников на освоение, управление и осуществление текущей деятельности УЦ
- Расширяет выбор конфигураций и сценариев использования
- Предоставляет более гибкие возможности для интеграции и автоматизации
- Использует современные ОС, СУБД, криптографические алгоритмы и оборудование, актуальные подходы к обеспечению масштабирования и отказоустойчивости
Уменьшение издержек
Суть уменьшения издержек с помощью ПАК «КриптоПро УЦ» версии 2.0 - выполнение большего количества задач на меньшем количестве оборудования, с меньшей нагрузкой на сеть и с меньшими затратами на лицензии.
Несколько ЦС на одном сервере
ПАК «КриптоПро УЦ» версии 2.0 позволяет размещать на одном сервере не один, а несколько экземпляров Центров Сертификации, обслуживающих разные информационные системы (ИС). К примеру, один сервер может совмещать в себе ЦС для выпуска:
- сертификатов для взаимодействия с другими организациями;
- сертификатов для системы электронного документооборота (СЭД) предприятия;
- сертификатов, используемых для организации VPN сетей (с алгоритмом ГОСТ или RSA).
Несколько ЦР на одном сервере
На одном сервере Центра Регистрации поддерживается создание отдельных разделов (папок), причём каждый раздел может быть изолирован (недоступен) для операторов и пользователей других разделов. Раздел может иметь индивидуальные ограничения прав доступа и другие настройки. Это позволяет обслуживать на одном сервере ЦР пользователей разных систем, организуя для них свои "виртуальные" ЦР.
Ранее создание изолированных ЦР было возможно только с использованием отдельный базы данных на каждый ЦР, в результате количество баз данных разрасталось, что затрудняло администрирование. Теперь один администратор может управлять несколькими изолированными разделами ЦР на одной базе данных.
Взаимодействие сервера ЦР с несколькими ЦС
Поддерживается взаимодействие сервера ЦР с несколькими ЦС. Это позволяет ещё больше изолировать пользователей различных систем, используя один или несколько ЦС для каждой системы. Кроме того, возможен сценарий, когда пользователь может выпустить сертификат на одном из нескольких ЦС (например, если пользователям требуется работать как с алгоритмами ГОСТ, так и с алгоритмами RSA).
Вместе с поддержкой на серверах нескольких ЦС и нескольких ЦР, возможность соединения ЦР с несколькими ЦС даёт возможность "упаковать" в одну пару физических серверов (для ЦС и для ЦР) необходимое количество изолированных друг от друга УЦ, состоящих из логических пар ЦС - ЦР, размещённых на этих серверах.
Поддержка разностных (delta) CRL
Обычные CRL по мере роста числа отозванных сертификатов могут достигать значительных размеров. Использование разностных CRL при частой публикации информации о статусе сертификатов снижает нагрузку на сетевую инфраструктуру за счёт уменьшения количества передаваемых данных. Альтернативой использованию CRL является использование службы OCSP из состава служб УЦ.
Новая система лицензирования
ПАК «КриптоПро УЦ» версии 2.0 допускает изменение учётных данных пользователя, заносимых в поле "Имя субъекта" сертификата. Это позволяет не заводить нового пользователя при изменении данных существующего пользователя.
Кроме того, вместо замены лицензии с меньшим количеством пользователей на лицензию с большим количеством пользователей, для ПАК «КриптоПро УЦ» версии 2.0 можно докупить дополнительную лицензию на необходимое число пользователей.
Экономия времени сотрудников
При разработке графических интерфейсов и системы настроек в ПАК «КриптоПро УЦ» версии 2.0 был сделан упор на простоту разворачивания и обслуживания типового УЦ предприятия, а также на удобство администрирования инфраструктур, где требуется наличие множества ЦР и ЦС.
Диспетчер УЦ
Для управления серверами ЦС и ЦР разработано приложение Диспетчер УЦ, консолидирующее в одном месте функции по разворачиванию, настройке и обслуживанию, которые были разделены по нескольким приложениям:
- Оснастка Центр сертификации
- Параметры Центра сертификации
- Параметры Центра регистрации
- Утилиты Центра сертификации
- Утилиты Центра регистрации
Уменьшено количество ручных операций, выполняемых при разворачивании и обслуживании ЦС, улучшен дизайн пользовательского интерфейса, информация представлена в наглядной форме.
Консоль управления ЦР
Для удалённого управления ЦР, пользователями и сертификатами предназначено приложение Консоль управления ЦР. Консоль управления ЦР заменила АРМ администратора ЦР. Кроме того, в консоль перенесена настройка параметров ЦР и прав доступа. Таким образом, администратору ЦР теперь доступна удалённая настройка ЦР без необходимости иметь доступ к серверу ЦР.
Консоль управления ЦР имеет более удобный интерфейс, предоставляет возможность группировки и фильтрации данных (включая конструктор фильтров для создания сложных условий выборки).
Доступность тех или иных операций в Консоли управления ЦР определяется наличием соответствующих прав у пользователя.
Единая политика PKI
Наcтройки полей имени субъекта сертификата и набор шаблонов сертификатов определяют в совокупности политику инфраструктуры открытых ключей (политику PKI) в рамках которой функционирует УЦ.
Политика PKI настраивается централизованно на сервере ЦС и применяется ко всем экземплярам ЦС, развернутым на сервере ЦС.
От сервера ЦС политика PKI распространяется по подключенным ЦР.
Шаблоны сертификатов определяют профили сертификатов, используемые в системах, которые обслуживает УЦ. В шаблоне сертификата собраны правила, по которым формируется сертификат. Шаблон сертификата позволяет просмотреть и настроить, как сертификат должен выглядеть в целом, в одном месте, а не переключаться между множеством разрозненных настроек.
В ПАК «КриптоПро УЦ» предыдущих версий отсутствует централизованное управление составом сертификата и политикой имён.
Сокращение числа ручных операций
Настройка значений по умолчанию для повторяющихся полей пользователя (страна, город, организация, подразделение) и настройка списков возможных значений для полей, имеющих фиксированный набор значений (должность) позволяют избежать лишней ручной работы и ошибок при заполнении полей в процессе регистрации пользователя.
Настройка полей, которые должны быть уникальны (СНИЛС, ИНН, ОГРН, UPN, электронная почта) позволяет избежать дублирования пользователей из-за различий при вводе таких полей как адрес, город, область. Кроме этого, сразу после ввода уникального поля отображается индикатор, если пользователь уже существует, что избавляет от лишнего ввода данных.
Редактор форм документов
Предоставляется редактор с графическим интерфейсом для редактирования форм документов, таких как форма для печати сертификата, запросов на регистрацию, сертификат, аннулирование.
Новые конфигурации и сценарии использования
ПАК «КриптоПро УЦ» версии 2.0 поддерживает сценарии использования ПАК «КриптоПро УЦ» предыдущих версий, добавляя набор новых конфигураций и сценариев использования, которые позволяют выполнять более широкий спектр требований.
Добавление любых полей в имя субъекта
Поля учётной записи пользователя УЦ и поля имени субъекта сертификата настраиваются в политике PKI и могут содержать произвольные атрибуты. Учётная запись пользователя УЦ и имя субъекта сертификата - не одно и то же. Правила формирования имени субъекта из полей учётной записи определяются в шаблоне сертификата.
Установка дат действия сертификата и даты аннулирования
Оператор ЦР имеет возможность управлять датами начала и/или окончания действия сертификатов, планировать аннулирование, приостановление, возобновление на определённый момент в будущем.
Работа ЦС без загрузки ключа
Центр сертификации поддерживает режим функционирования без загруженного ключа. В этом режиме ЦС способен принимать запросы, и возвращать ранее изданные сертификаты и CRL. В данный режим ЦС переходит сразу после загрузки сервера ЦС, либо после отгрузки ключей администратором ЦС.
Несколько администраторов ЦС
Каждый экземпляр ЦС управляется одним или более администраторами ЦС. Каждому администратору ЦС принадлежит свой ключ ЦС. Имя администратора ЦС может быть включено в расширение Альтернативное имя субъекта сертификата ЦС. Возможна организация посменной работы администраторов ЦС. Использование этих механизмов позволяет разграничить персональную ответственность сотрудников за ключи ЦС.
Работа ЦР без постоянной связи с ЦС
На ЦР поддерживается очередь запросов, готовых к отправке на ЦС, что позволяет ЦР работать без наличия связи с ЦС. Содержащиеся в очереди запросы обрабатываются при появлении подключения к ЦС.
Расписание выпуска CRL
В расписании выпуска CRL указываются точные моменты выпуска CRL, а не периодичность выпуска. Расписание настраивается с помощью интерфейса планировщика задач Windows, что обеспечивает его гибкую настройку, например, отсутствие выпуска CRL на выходных.
Управление доступом и разграничение видимости
Контроль доступа и видимостью на Центре регистрации осуществляется не на уровне методов, а на уровне объектов, что позволяет гибко управлять правами и видимостью отдельных разделов (папок) ЦР, изолировать пользователей одних разделов от других.
Интеграция и автоматизация
Для интеграции с другими информационными системами и для автоматизации функций ПАК «КриптоПро УЦ» версии 2.0 предоставляет более широкий набор инструментов, не забывая при этом про приложения, разработанные для предыдущих версий ПАК «КриптоПро УЦ».
Интерфейс внешних приложений
ПАК «КриптоПро УЦ» версии 2.0 предоставляет интерфейс внешних приложений (ИВП), который спроектирован с учётом потребности миграции приложений, ранее использовавших ИВП ПАК «КриптоПро УЦ» предыдущих версий. Предоставлены аналоги функций и структур данных, использовавшихся в ИВП ПАК «КриптоПро УЦ» предыдущих версий.
В то же время в новом ИВП представлены методы для работы с возможностями УЦ, которых не было в предыдущих версиях. Из-за существенной разнице в архитектуре сохранить совместимость с ИВП предшествующих версий УЦ не удалось, но новый ИВП спроектирован таким образом, чтобы переход на него с предыдущей версии был несложным. Осталась как совместимость с SOAP Toolkit, так и возможность пользоваться более современными средствами разработки, такими как .NET.
HTTP интерфейс веб-портала ЦР
Для взаимодействия с веб-порталом ЦР предоставляется HTTP интерфейс, с помощью которого сторонние приложения могут регистрировать пользователя, выпускать и отзывать сертификаты.
Расширение функциональности через подключаемые модули
На ЦС предусмотрены два способа расширения функциональности: модули политики и модули выхода. Модули политики позволяют изменить правила формирования сертификата, модули выхода - расширить возможности публикации сертификатов и CRL. Допускается использование более одного модуля политики или модуля выхода.
На ЦР предусмотрено расширение механизма экспорта сертификатов через модули экспорта. Допускается использование более одного модуля экспорта. Реализовано уведомление модуля экспорта о состоянии отзыва сертификата, что позволяет, например, удалять сертификат из места публикации при отзыве.
Отображение учетной записи в имя субъекта сертификата
Поскольку учетная запись пользователя ЦР больше не тождественна имени субъекта в сертификате, при интеграции с УЦ можно использовать такой же состав полей учётной записи пользователя ЦР, как и у пользователя системы, с которой УЦ интегрируется, что упрощает процесс отображения пользователей системы на пользователей УЦ.
Поскольку поддерживается изменение полей учётной записи пользователя ЦР, её можно держать в соответствии с учётной записью пользователя системы без создания дополнительных пользователей ЦР.
Отображение учётной записи в имя субъекта сертификата задаётся в шаблоне сертификата. Там же задаётся состав сертификата, в том числе и расширений, что избавляет интегратора от необходимости самостоятельно формировать имя субъекта и расширения в запросе - достаточно настроить шаблон сертификата.
Средства командной строки
Установка, управление и осуществление функций УЦ можно выполнять с помощью предоставляемых инструментов командной строки PowerShell. Разворачивание и другие задачи можно автоматизировать с помощью скриптов.
Использование СУБД SQL Server
В качестве инструмента управления базами данных как ЦС, так и ЦР используются продукты линейки Microsoft SQL Server. Они предоставляют знакомые многим администраторам инструменты для обслуживания баз данных.
Современные технологии и подходы
ПАК «КриптоПро УЦ» версии 2.0 использует в своей работе современные инструменты и подходы к выполнению задач.
Современный набор технологий
В своей работе ПАК «КриптоПро УЦ» версии 2.0 поддерживает наиболее современные, производительные и защищённые продукты - последнее поколение операционных систем Windows Server 2012 R2/Windows 8.1, систем управления баз данных Microsoft SQL Server 2014.
При разработке УЦ используются современные инструменты разработки на платформе .NET Framework, Windows Communication Foundation (WCF).
Поддержка современных криптоалгоритмов и аппаратных платформ
ПАК «КриптоПро УЦ» версии 2.0 поддерживает работу как с алгоритмами семейства ГОСТ-2001, так и с алгоритмами ГОСТ-2012. Поддерживается хранение ключей УЦ в ПАКМ «КриптоПро HSM».
В то же время поддерживаются и произвольные криптоалогритмы, реализуемые другими криптопровайдерами, установленными в системе.
Отказоустойчивость и масштабирование
ПАК «КриптоПро УЦ» версии 2.0 поддерживает отказоустойчивые конфигурации УЦ (горячий резерв), в также горизонтальное масштабирование УЦ.