КриптоПро | Производительность КриптоПро УЦ 1.5

КриптоПро | Производительность КриптоПро УЦ 1.5 ЭЦП
На чтение 14 мин. Просмотров 3 Опубликовано
Содержание
  1. Взаимодействие сервера цр с несколькими цс
  2. Диспетчер уц
  3. Добавление любых полей в имя субъекта
  4. Единая политика pki
  5. Интеграция и автоматизация
  6. Интерфейс внешних приложений
  7. Использование субд sql server
  8. Консоль управления цр
  9. Криптопро пак «службы уц» 2.0 — купить лицензию онлайн по выгодной цене
  10. Крипто-про: форма заказа
  11. Несколько администраторов цс
  12. Несколько цр на одном сервере
  13. Несколько цс на одном сервере
  14. Новая система лицензирования
  15. Новые конфигурации и сценарии использования
  16. Отказоустойчивость и масштабирование
  17. Отображение учетной записи в имя субъекта сертификата
  18. Поддержка разностных (delta) crl
  19. Поддержка современных криптоалгоритмов и аппаратных платформ
  20. Работа цр без постоянной связи с цс
  21. Работа цс без загрузки ключа
  22. Расписание выпуска crl
  23. Расширение функциональности через подключаемые модули
  24. Редактор форм документов
  25. Результаты испытания
  26. Современные технологии и подходы
  27. Современный набор технологий
  28. Сокращение числа ручных операций
  29. Средства командной строки
  30. Тестовый уц
  31. Уменьшение издержек
  32. Управление доступом и разграничение видимости
  33. Установка дат действия сертификата и даты аннулирования
  34. Экономия времени сотрудников

Взаимодействие сервера цр с несколькими цс

Поддерживается взаимодействие сервера ЦР с несколькими ЦС. Это позволяет ещё больше изолировать пользователей различных систем, используя один или несколько ЦС для каждой системы. Кроме того, возможен сценарий, когда пользователь может выпустить сертификат на одном из нескольких ЦС (например, если пользователям требуется работать как с алгоритмами ГОСТ, так и с алгоритмами RSA).

Вместе с поддержкой на серверах нескольких ЦС и нескольких ЦР, возможность соединения ЦР с несколькими ЦС даёт возможность «упаковать» в одну пару физических серверов (для ЦС и для ЦР) необходимое количество изолированных друг от друга УЦ, состоящих из логических пар ЦС — ЦР, размещённых на этих серверах.

Диспетчер уц

Для управления серверами ЦС и ЦР разработано приложение Диспетчер УЦ, консолидирующее в одном месте функции по разворачиванию, настройке и обслуживанию, которые были разделены по нескольким приложениям:

Уменьшено количество ручных операций, выполняемых при разворачивании и обслуживании ЦС, улучшен дизайн пользовательского интерфейса, информация представлена в наглядной форме.

Добавление любых полей в имя субъекта

Поля учётной записи пользователя УЦ и поля имени субъекта сертификата настраиваются в политике PKI и могут содержать произвольные атрибуты. Учётная запись пользователя УЦ и имя субъекта сертификата — не одно и то же. Правила формирования имени субъекта из полей учётной записи определяются в шаблоне сертификата.

Единая политика pki

Наcтройки полей имени субъекта сертификата и набор шаблонов сертификатов определяют в совокупности политику инфраструктуры открытых ключей (политику PKI) в рамках которой функционирует УЦ.

Политика PKI настраивается централизованно на сервере ЦС и применяется ко всем экземплярам ЦС, развернутым на сервере ЦС.

От сервера ЦС политика PKI распространяется по подключенным ЦР.

Шаблоны сертификатов определяют профили сертификатов, используемые в системах, которые обслуживает УЦ. В шаблоне сертификата собраны правила, по которым формируется сертификат.  Шаблон сертификата позволяет просмотреть и настроить, как сертификат должен выглядеть в целом, в одном месте, а не переключаться между множеством разрозненных настроек.

В ПАК «КриптоПро УЦ» предыдущих версий отсутствует централизованное управление составом сертификата и политикой имён.

Интеграция и автоматизация

Для интеграции с другими информационными системами и для автоматизации функций ПАК «КриптоПро УЦ» версии 2.0 предоставляет более широкий набор инструментов, не забывая при этом про приложения, разработанные для предыдущих версий ПАК «КриптоПро УЦ».

Интерфейс внешних приложений

ПАК «КриптоПро УЦ» версии 2.0  предоставляет интерфейс внешних приложений (ИВП), который спроектирован с учётом потребности миграции приложений, ранее использовавших ИВП ПАК «КриптоПро УЦ» предыдущих версий. Предоставлены аналоги функций и структур данных, использовавшихся в ИВП ПАК «КриптоПро УЦ» предыдущих версий.

В то же время в новом ИВП представлены методы для работы с возможностями УЦ, которых не было в предыдущих версиях. Из-за существенной разнице в архитектуре сохранить совместимость с ИВП предшествующих версий УЦ не удалось, но новый ИВП спроектирован таким образом, чтобы переход на него с предыдущей версии был несложным.

Использование субд sql server

В качестве инструмента управления базами данных как ЦС, так и ЦР используются продукты линейки Microsoft SQL Server. Они предоставляют знакомые многим администраторам инструменты для обслуживания баз данных.

Консоль управления цр

Для удалённого управления ЦР, пользователями и сертификатами предназначено приложение Консоль управления ЦР. Консоль управления ЦР заменила АРМ администратора ЦР. Кроме того, в консоль перенесена настройка параметров ЦР и прав доступа. Таким образом, администратору ЦР теперь доступна удалённая настройка ЦР без необходимости иметь доступ к серверу ЦР.

Консоль управления ЦР имеет более удобный интерфейс, предоставляет возможность группировки и фильтрации данных (включая конструктор фильтров для создания сложных условий выборки).

Доступность тех или иных операций в Консоли управления ЦР определяется наличием соответствующих прав у пользователя.

Криптопро пак «службы уц» 2.0 — купить лицензию онлайн по выгодной цене

Описание товара

Основные характеристики

Программно-аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» версии 2.0 (сокращённо – ПАК «КриптоПро УЦ 2.0») обеспечивает автоматизацию деятельности удостоверяющего центра и может использоваться как в качестве средства удостоверяющего центра в нотации 63-ФЗ «Об электронной подписи», так и в качестве центра управления сертификатами.

ПАК «КриптоПро УЦ» является первым в Российской Федерации специализированным программно-аппаратным комплексом, успешно прошедшим сертификационные испытания и получившим сертификат соответствия ФСБ России. С момента получения первого сертификата соответствия в 2003 году ПАК «КриптоПро УЦ» неоднократно модернизировался.

Качество и защищённость новых версий комплекса подтверждалось ростом числа инсталляций продукта и новыми сертификатами соответствия ФСБ России.

Свидетельством отличных эксплуатационных характеристик ПАК «КриптоПро УЦ» является его широкое применение как органами государственной власти и местного самоуправления, так и субъектами малого, среднего и крупного бизнеса всех отраслей.

Каждая новая версия продукта создавалась на основе учёта требований пользователей, изменяющегося законодательства и требования по безопасности со стороны регуляторов.

ПАК «КриптоПро УЦ» версии 2.0 вобрал в себя весь продолжительный опыт эксплуатации средств удостоверяющих центров и на настоящий момент является наиболее оптимальным средством автоматизации деятельности удостоверяющих центров.

ПАК «КриптоПро УЦ» версии 2.0 представляет собой программный комплекс, состоящий из следующих логических компонент:

  • Серверные компоненты, включающие в себя:
    • Центр сертификации (ЦС) – обеспечивает изготовление сертификатов и списков отозванных сертификатов в соответствии с настраиваемой политикой PKI. На одном физическом сервере может быть размещено несколько Центров сертификации. Каждый Центр сертификации взаимодействует только с Центром регистрации;
    • Центр регистрации (ЦР) – обеспечивает реализацию всей логики работы комплекса по назначению, осуществляет ведение всех реестров УЦ. На одном физическом сервере может быть размещён только один Центр регистрации. Взаимодействует как с одним или несколькими Центрами сертификации (размещёнными на одном физическом сервере), так и с АРМ ОП и АРМ пользователя, фактически являясь посредником (брокером) между ними;
    • CDP — обеспечивает функционирование автономного Пункта распространения CRL в соответствии с настраиваемой политикой PKI. На одном физическом сервере может быть размещен только один компонент «CDP». Компонент «CDP» взаимодействует с Центром сертификации и/или с Центром регистрации.
  • Клиентские компоненты, включающие в себя:
    • Автоматизированное рабочее место (АРМ) обслуживающего персонала (АРМ ОП) – толстый клиент, который предоставляет графический пользовательский интерфейс для удалённого управления сотрудникам из числа обслуживающего персонала Удостоверяющего центра (администраторам, операторам и т.д.). На одном компьютере может быть размещено несколько АРМ ОП. АРМ ОП взаимодействует только с Центром регистрации;
    • АРМ разбора конфликтных ситуаций (АРМ РКС) – предназначен для оборудования рабочего места эксперта, в случае необходимости проведения экспертизы по подтверждению подлинности электронной подписи в документе или сертификате. На одном компьютере может быть размещён только один АРМ РКС. АРМ РКС не взаимодействует ни с какими компонентами и предназначен только для автономной работы;
    • АРМ пользователя — комплекс программ, который предоставляет пользователям через веб-браузер графический интерфейс для взаимодействия с УЦ. С помощью этого АРМ пользователи формируют ключи, создают и отправляют запросы на Центр регистрации, получают необходимую информацию из реестров УЦ. АРМ пользователя взаимодействует с Центром регистрации и/или с CDP.

Все компоненты ПАК «КриптоПро УЦ» взаимодействуют друг с другом с использованием защищенного транспортного протокола Transport Layer Security (TLS) с двухсторонней аутентификацией.

Крипто-про: форма заказа

Уважаемый покупатель,

При размещении Заказа мы спешим Вам предложить настроить электронный обмен юридически значимыми документами (далее — ЭДО), что позволит Вам в дальнейшем оперативно получать Заказы и документы по ним.

Для этого Вам необходимо:

  1. Иметь подключение к действующему Оператору ЭДО по обмену между хозяйствующими субъектами (Контур, Такском, Тензор, Калуга-Астрал, СТЭК и т.д.)*.
  2. Ознакомиться с Соглашением об использовании электронного документооборота и выразить согласие на его применение.
  3. Приготовиться сообщить Ваш идентификатор участника электронного обмена при размещении Заказа на сайте. Его вы сможете узнать у Вашего Оператора ЭДО (Контур, Такском, Тензор, Калуга-Астрал, СТЭК и т.д.) или уполномоченного лица по ЭДО с Вашей стороны.
  4. Оперативно принять Приглашение от нас в личном кабинете у Вашего Оператора ЭДО (Контур, Такском, Тензор, Калуга-Астрал, СТЭК и т.д.) после проведенных нами настроек.
  5. Получить Счет на оплату.

В случае, если Вы на текущий момент не подключены к Оператору ЭДО по обмену между хозяйствующими субъектами (Контур, Такском, Тензор, Калуга-Астрал и т.д.)*, то
при размещении Заказа, Вам следует не проставлять отметку «Присоединиться к ЭДО» и,
в этом случае Заказ и все последующие документы (счет на оплату, акт на передачу прав, товарная накладная, счет-фактура) по Заказу будут направлены одним из способов,
выбранным Вами при размещении заказа на сайте:

Справочно:*Реестр действующих Операторов ЭДО по обмену между хозяйствующими субъектами https://www.nalog.gov.ru/rn77/taxation/submission_statements/el_count/

Несколько администраторов цс

Каждый экземпляр ЦС управляется одним или более администраторами ЦС. Каждому администратору ЦС принадлежит свой ключ ЦС. Имя администратора ЦС может быть включено в расширение Альтернативное имя субъекта сертификата ЦС. Возможна организация посменной работы администраторов ЦС. Использование этих механизмов позволяет разграничить персональную ответственность сотрудников за ключи ЦС.

Несколько цр на одном сервере

На одном сервере Центра Регистрации поддерживается создание отдельных разделов (папок), причём каждый раздел может быть изолирован (недоступен) для операторов и пользователей других разделов. Раздел может иметь индивидуальные ограничения прав доступа и другие настройки. Это позволяет обслуживать на одном сервере ЦР пользователей разных систем, организуя для них свои «виртуальные» ЦР.

Ранее создание изолированных ЦР было возможно только с использованием отдельный базы данных на каждый ЦР, в результате количество баз данных разрасталось, что затрудняло администрирование. Теперь один администратор может управлять несколькими изолированными разделами ЦР на одной базе данных.

Несколько цс на одном сервере

ПАК «КриптоПро УЦ» версии 2.0 позволяет размещать на одном сервере не один, а несколько экземпляров Центров Сертификации, обслуживающих разные информационные системы (ИС). К примеру, один сервер может совмещать в себе ЦС для выпуска:

Новая система лицензирования

ПАК «КриптоПро УЦ» версии 2.0 допускает изменение учётных данных пользователя, заносимых в поле «Имя субъекта» сертификата. Это позволяет не заводить нового пользователя при изменении данных существующего пользователя.

Кроме того, вместо замены лицензии с меньшим количеством пользователей на лицензию с большим количеством пользователей, для ПАК «КриптоПро УЦ» версии 2.0 можно докупить дополнительную лицензию на необходимое число пользователей.

Новые конфигурации и сценарии использования

ПАК «КриптоПро УЦ» версии 2.0 поддерживает сценарии использования ПАК «КриптоПро УЦ» предыдущих версий, добавляя набор новых конфигураций и сценариев использования, которые позволяют выполнять более широкий спектр требований.

Отказоустойчивость и масштабирование

ПАК «КриптоПро УЦ» версии 2.0 поддерживает отказоустойчивые конфигурации УЦ (горячий резерв), в также горизонтальное масштабирование УЦ.

Отображение учетной записи в имя субъекта сертификата

Поскольку учетная запись пользователя ЦР больше не тождественна имени субъекта в сертификате, при интеграции с УЦ можно использовать такой же состав полей учётной записи пользователя ЦР, как и у пользователя системы, с которой УЦ интегрируется, что упрощает процесс отображения пользователей системы на пользователей УЦ.

Поскольку поддерживается изменение полей учётной записи пользователя ЦР, её можно держать в соответствии с учётной записью пользователя системы без создания дополнительных пользователей ЦР.

Отображение учётной записи в имя субъекта сертификата задаётся в шаблоне сертификата. Там же задаётся состав сертификата, в том числе и расширений, что избавляет интегратора от необходимости самостоятельно формировать имя субъекта и расширения в запросе — достаточно настроить шаблон сертификата.

Поддержка разностных (delta) crl

Обычные CRL по мере роста числа отозванных сертификатов могут достигать значительных размеров. Использование разностных CRL при частой публикации информации о статусе сертификатов снижает нагрузку на сетевую инфраструктуру за счёт уменьшения количества передаваемых данных. Альтернативой использованию CRL является использование службы OCSP из состава служб УЦ.

Поддержка современных криптоалгоритмов и аппаратных платформ

ПАК «КриптоПро УЦ» версии 2.0 поддерживает работу как с алгоритмами семейства ГОСТ-2001, так и с алгоритмами ГОСТ-2022. Поддерживается хранение ключей УЦ в ПАКМ «КриптоПро HSM».

В то же время поддерживаются и произвольные криптоалогритмы, реализуемые другими криптопровайдерами, установленными в системе.

Работа цр без постоянной связи с цс

На ЦР поддерживается очередь запросов, готовых к отправке на ЦС, что позволяет ЦР работать без наличия связи с ЦС. Содержащиеся в очереди запросы обрабатываются при появлении подключения к ЦС.

Работа цс без загрузки ключа

Центр сертификации поддерживает режим функционирования без загруженного ключа. В этом режиме ЦС способен принимать запросы, и возвращать ранее изданные сертификаты и CRL. В данный режим ЦС переходит сразу после загрузки сервера ЦС, либо после отгрузки ключей администратором ЦС.

Расписание выпуска crl

В расписании выпуска CRL указываются точные моменты выпуска CRL, а не периодичность выпуска. Расписание настраивается с помощью интерфейса планировщика задач Windows, что обеспечивает его гибкую настройку, например, отсутствие выпуска CRL на выходных.

Расширение функциональности через подключаемые модули

На ЦС предусмотрены два способа расширения функциональности: модули политики и модули выхода. Модули политики позволяют изменить правила формирования сертификата, модули выхода — расширить возможности публикации сертификатов и CRL. Допускается использование более одного модуля политики или модуля выхода.

На ЦР предусмотрено расширение механизма экспорта сертификатов через модули экспорта. Допускается использование более одного модуля экспорта. Реализовано уведомление модуля экспорта о состоянии отзыва сертификата, что позволяет, например, удалять сертификат из места публикации при отзыве.

Редактор форм документов

Предоставляется редактор с графическим интерфейсом для редактирования форм документов, таких как форма для печати сертификата, запросов на регистрацию, сертификат, аннулирование.

Результаты испытания

График зависимости времени выполнения задачи «Регистрация пользователя удостоверяющего центра» от количества пользователей в реестре пользователей ПАК «КриптоПро УЦ» приведен на рисунке ниже:

Перепад в значении времени в районе 30 тыс. пользователей был связан с перезагрузкой операционных систем компьютеров, на которых проводились испытания.

По результатам данного нагрузочного теста можно сделать вывод, что между количеством зарегистрированных в удостоверяющем центре пользователей и временем регистрации нового пользователя имеется линейная зависимость. На объёме в 100 тыс. пользователей время регистрации нового пользователя составит порядка 15 секунд.

Современные технологии и подходы

ПАК «КриптоПро УЦ» версии 2.0 использует в своей работе современные инструменты и подходы к выполнению задач.

Современный набор технологий

В своей работе ПАК «КриптоПро УЦ» версии 2.0 поддерживает наиболее современные, производительные и защищённые продукты — последнее поколение операционных систем Windows Server 2022 R2/Windows 8.1, систем управления баз данных  Microsoft SQL Server 2022.

При разработке УЦ используются современные инструменты разработки на платформе .NET Framework, Windows Communication Foundation (WCF).

Сокращение числа ручных операций

Настройка значений по умолчанию для повторяющихся полей пользователя (страна, город, организация, подразделение) и настройка списков возможных значений для полей, имеющих фиксированный набор значений (должность) позволяют избежать лишней ручной работы и ошибок при заполнении полей в процессе регистрации пользователя.

Настройка полей, которые должны быть уникальны (СНИЛС, ИНН, ОГРН, UPN, электронная почта) позволяет избежать дублирования пользователей из-за различий при вводе таких полей как адрес, город, область. Кроме этого, сразу после ввода уникального поля отображается индикатор, если пользователь уже существует, что избавляет от лишнего ввода данных.

Средства командной строки

Установка, управление и осуществление функций УЦ можно выполнять с помощью предоставляемых инструментов командной строки PowerShell. Разворачивание и другие задачи можно автоматизировать с помощью скриптов.

Тестовый уц

Помимо этого в ООО «КРИПТО-ПРО» развернут макет тестового удостоверяющего центра (технические характеристики оборудования выше характеристик, приведенных в предыдущем Тесте), в котором зарегистрировано более 1 миллиона пользователей, и регистрация нового пользователя (с генерацией закрытых ключей на ключевой носитель типа «Реестр ОС») составляет не более 25 секунд.

Уменьшение издержек

Суть уменьшения издержек с помощью ПАК «КриптоПро УЦ» версии 2.0 — выполнение большего количества задач на меньшем количестве оборудования, с меньшей нагрузкой на сеть и с меньшими затратами на лицензии.

Управление доступом и разграничение видимости

Контроль доступа и видимостью на Центре регистрации осуществляется не на уровне методов, а на уровне объектов, что позволяет гибко управлять правами и видимостью отдельных разделов (папок) ЦР, изолировать пользователей одних разделов от других.

Установка дат действия сертификата и даты аннулирования

Оператор ЦР имеет возможность управлять датами начала и/или окончания действия сертификатов, планировать аннулирование, приостановление, возобновление на определённый момент в будущем.

Экономия времени сотрудников

При разработке графических интерфейсов и системы настроек в ПАК «КриптоПро УЦ» версии 2.0 был сделан упор на простоту разворачивания и обслуживания типового УЦ предприятия, а также на удобство администрирования инфраструктур, где требуется наличие множества ЦР и ЦС.

криптопро
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64