- Общее описание
- Дополнительные материалы
- Использование криптопро csp для создания инфраструктуры открытых ключей
- Контроль целостности программного обеспечения
- Операционная платформа компонент для пак «криптопро уц» 2.0
- Особенности установки по центра сертификации
- Поддерживаемые на компонентах уц средства криптографической защиты информации
- Потребители сервисов pki-кластера:
- Сертификаты аутентификации серверов удостоверяющего центра cryptopro tls ca(схема обслуживания – распределенная)
- Документы, регламентирующие деятельность УЦ CryptoPro TLS CA (схема обслуживания – распределенная)
- Порядок получения сертификата:
- Центр сертификации
Общее описание
КриптоПро PKI-Кластер — комплекс программного обеспечения для централизованного и унифицированного обмена сообщениями между различными компонентами PKI-инфраструктуры организации, обеспечивающей управление жизненным циклом сертификатов ключей проверки электронной подписи и применение электронной подписи.
КриптоПро PKI-Кластер используется для решения задачи интеграции различных информационных систем PKI-инфраструктуры в единый программный комплекс с применением сервис-ориентированного подхода.
Основной принцип: интеграция различных приложений путем установки коммуникационной шины (брокера сообщений) между ними и настройка «общения» этих приложений через шину. Шина отделяет приложения друг от друга, позволяя им коммуницировать независимо от других приложений и даже «не зная» о существовании друг друга.
Дополнительные материалы
ДокументацияДистрибутивы (для скачивания обязательна регистрация на сайте)
Использование криптопро csp для создания инфраструктуры открытых ключей
Использование криптопровайдера КриптоПро CSP позволяет пользователям и разработчикам использовать Инфраструктуру Открытых Ключей, применяя для этого стандартные средства Microsoft, входящие в состав ОС Windows.
Самый простой вариант создания корпоративной системы, использующей ИОК — установка программного обеспечения Центра Сертификации (Microsoft Certification Authority), входящего в состав ПО Windows 2000 Server и использование электронной почты Microsoft Outlook Express, входящей в состав Internet Explorer версии 5.0 и выше или Microsoft Outlook, входящей в состав MS Office 2000 .
Такой вариант сразу позволяет обеспечить целостность, авторство и конфидециальность информации, передаваемой в почтовом режиме, с использованием российскиx криптографических алгоритмов.
Разработчики, для целей встраивания в различные системы документооборота или электронной коммерции, могут воспользоваться библиотекой Microsoft CryptoAPI, описание функций которой приведено в MSDN (MSDNPlatform SDKSecurityCryptographyCryptoAPI) и библиотеками обеспечивающими взаимодействие пользователя с Центром Сертификации — Certificate Enrollment Control (MSDNPlatform SDKSecurityCertificate Enrollment Control).
При необходимости наращивания функциональности ПО Центра Сертификации разработчики могут воспользоваться средставми его расширения,описанными в разаделе Certificate Services (MSDNPlatform SDKSecurityCertificate Services).
Контроль целостности программного обеспечения
Использование криптопровайдера КриптоПро CSP делает доступным использование стандартных средств формирования и проверки ЭЦП программного обеспечения, распространяемого по сети (Microsoft Authenticode®) с использованием российских криптоалгоритмов (подробнее о технологии Microsoft Authenticode® можно прочитать в MSDNPlatform SDKSecurityCryptographyCryptoAPI ToolsAbout CryptoAPI ToolsIntroduction to Code Signing или на сервере Microsoft).
Для формирования ЭЦП дистрибутива, dll, ехе-файла, ocs-файла может быть использована утилита SignCode.exe, входящая в состав PlatformSDK.
Проверка подписи производится средствами Microsoft Explorer при загрузке файла по сети или утилитой ChkTrust.Exe, так же входящей в состав PlatformSDK .
Операционная платформа компонент для пак «криптопро уц» 2.0
Программные компоненты ПАК «КриптоПро УЦ» версии 2.0 могут эксплуатироваться на следующих ОС:
Особенности установки по центра сертификации
При установке ПО Microsoft Certification Authority установите флаг «Дополнительные возможности». При наличии этого флага можно выбрать криптопровайдер КриптоПро CSP (Crypto-Pro Cryptographic Service Provider) для формирования ключа и сертификата Центра.
ПО Microsoft Certification Authority, входящее в состав локализованного ПО (русская версия) Windows 2000 Server при установке имеет ошибку в сценариях в файле %WINDIR%system32certsrvcertrqma.asp в определении переменной L_TemplateCert_Text.
var L_TemplateCert_Text=»» Сертификат» sTemplate «»;
Следует удалить лишние символы » «» в определении переменной L_TemplateCert_Text.
Примечание. Сценарии устанавливаются каждый раз при установке сервера.
Поддерживаемые на компонентах уц средства криптографической защиты информации
Для уровня защиты КС2:
Для уровня защиты КС3:
Потребители сервисов pki-кластера:
Пользователи — владельцы сертификатов, обращающиеся непосредственно к PKI-инфраструктуре или посредством внешних ИС для создания/проверки ЭП и управления жизненным циклом сертификатов.
Вызывающие ИС — информационные системы, предоставляющие пользователям или другим системам возможности PKI-сервисов.
Оператор выдачи сертификатов — сотрудник, ответственный за идентификацию заявителя, проверку предоставленных сведений, направления запроса на создание/отзыв сертификата в УЦ, выдачу сертификата.
Оператор аудита — сотрудник, ответственный за сбор и анализ статистической информации, построение отчетов и осуществляющий мониторинг работоспособности PKI-инфраструктуры.
Администратор — сотрудник, ответственный за настройку системы, управление Операторами и вызывающими системами.
Сертификаты аутентификации серверов
удостоверяющего центра cryptopro tls ca(схема обслуживания – распределенная)
Документы, регламентирующие деятельность УЦ CryptoPro TLS CA
(схема обслуживания – распределенная)
Порядок получения сертификата:
- Заполните заявку на нашем сайте, выбрав позицию «Услуги Удостоверяющего Центра по изготовлению сертификата ключа аутентификации сервера по распределенной схеме обслуживания». При необходимости там же можно заказать лицензии на «КриптоПро CSP».
В течение суток на указанный Вами адрес электронной почты будет выслан скан счета. Распечатайте и оплатите его. - Подготовьте заявительные документы по формам из приложений в Регламенте УЦ:
- Приложение № 1 (Заявление о присоединении к Регламенту) — 2 экз. (предоставляется один раз при получении первого сертификата)
- Приложение № 2 (Заявление на регистрацию) — 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
- Приложение № 3 (Доверенность пользователя УЦ) — 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
- Зайдите по адресу https://tlsca.cryptopro.ru/ui (следует использовать Internet Explorer на компьютере, где установлен КриптоПро CSP и сертификат уполномоченного лица УЦ), нажмите кнопку «Регистрация» на пункте «для получения сертификатов Web-серверов» и введите идентификационные данные регистрирующегося лица в соответствии с данными, указанными в Заявлении на регистрацию (Приложение № 2 к Регламенту). Во время этой процедуры формируется логин (маркер) временного доступа и пароль — их нужно запомнить (сохранить).
- Подготовленные в п. 2 документы необходимо отсканировать и отправить на адрес cpca@cryptopro.ru.
- После регистрации пользователя, Вы получите соответствующее письмо. После этого зайдите на https://tlsca.cryptopro.ru/ui нажмите кнопку «Вход для зарегистрированных пользователей» и введите логин и пароль, полученные при регистрации. Заранее подготовьте ключевой носитель (флэшку, дискету, eToken, Rutoken, …) для сохранения на нём сформированных ключей. Далее нажмите кнопку «Создать запрос на сертификат».
- После успешной генерации ключей распечатайте заявление на изготовление сертификата ключа подписи (оно автоматически сформируется при нажатии на кнопку «Печать»), подпишите, отсканируйте и отправьте на адрес cpca@cryptopro.ru
- После изготовления сертификата, Вы получите соответствующее письмо. После этого зайдите на https://tlsca.cryptopro.ru/ui нажмите кнопку «Вход для зарегистрированных пользователей» и введите логин и пароль, полученные при регистрации. Далее нажмите кнопку «Получить сертификат».
- После успешной установки сертификата распечатайте сертификат в 2-х экземплярах (с помощью присланной вам в письме формы), подпишите, отсканируйте и отправьте на адрес cpca@cryptopro.ru
- Оригиналы всех подготовленных документов (Заявление о присоединении, Заявление на регистрацию, Доверенность, Заявление на изготовление сертификата, Сертификат на бумажном бланке) необходимо прислать Почтой России или курьерской службой в ООО «КРИПТО-ПРО».
Центр сертификации
Центр Сертификации (или Удостоверяющий Центр) — основная управляющая компонента Инфраструктуры Открытых Ключей. Центр Сертификации предназначенна для формирования электронных сертификатов подчиненных Центров и конечных пользователей.
К основным функция Центра относятся: