БНЯЯРЮМНБКЕМХЕ СДЮКЕММШИ ХМТНПЛЮЖХЪ
Инфосистемы Джет - Решения - Защита информации Средства построения инфраструктуры открытых ключей: UniCERTСистема UniCERT представляет собой решение по построению инфраструктуры с открытым ключом (PKI), разработанное компанией Baltimore Technologies. В состав данной системы входят следующие основные компоненты: Certificate Authority (CA) - Центр сертификации, осуществляющий формирование сертификатов открытых ключей абонентов, а также списка отозванных сертификатов (CRL); Certificate Authority Operator (CAO) - Оператор центра сертификации, осуществляющий управление как корневым, так и второстепенными CA; Registration Authority (RA) - Центр регистрации, обеспечивающий доставку запросов на получения сертификатов открытого ключа центру сертификации, а также регистрацию данных запросов и их хранение; Registration Authority Operator (RAO) - Оператор центра регистрации, осуществляющий формирование запросов на получение сертификатов, а также генерацию пары ключей пользователя; Gateway - Шлюз доступа, осуществляющий прием удаленно представленных запросов на получение сертификата и передачу их RA; Token Manager - Поддержка работы с токенами и смарт-картами, на которых могут хранится сертификаты открытых ключей. Система UniCERT также располагает дополнительными модулями, которые расширяют возможности построения инфраструктуры открытых ключей, а также делают решение более эффективным и производительным. К данным модулям относятся:Key Archive Server (KAS) - Сервер, выполняющий функции по архивированию, хранению и восстановлению личных ключей шифрования, уменьшая тем самым риски потери данных и затраты на их восстановление; WebRAO Server - Сервер, обеспечивающий подключение операторов к удаленной службе регистрации через Internet; WebRAO - Модуль оператора центра регистрации подключаемой с использованием стандартного Web-навиготора; Advanced Registration Module (ARM) - Модуль, предназначенный для выпуска большого количества сертификатов, а также обеспечивающий поддержку централизованных политик безопасности;Advanced Publishing Module (APM) - Данный модуль дает возможность использовать Microsoft Active Directory для хранения сертификатов и списков отзыва сертификатов (CLR); Timestamp Server (TSS) - Предоставляет услуги по проверке существования документа в конкретный момент времени. Для реализации инфраструктуры открытых ключей необходимы в первую очередь пара ключей, которые могут быть сгенерированы как с помощью программного обеспечения, установленного непосредственно на рабочем месте пользователя, так и с помощью специализированного программного обеспечения. В системе UniCERT функции по генерации пар ключей выполняет оператор центра регистрации (модуль RAO). В зависимости от того, кем генерируется пара ключей, как открытый ключ доставляется центру регистрации, и как сгенерированный сертификат возвращается пользователю, возможны разные режимы взаимодействия модулей а, следовательно, и разные решения построения инфраструктуры открытых ключей.Режим Face-To-FaceДля реализации инфраструктуры открытых ключей в небольшой компании, которая не имеет удаленных филиалов, основу инфраструктуры открытых ключей могут составлять всего четыре модуля UniCERT: центр сертификации, центр регистрации, а также модули операторов центра сертификации и центра регистрации. При таком составе модулей будет использоваться режим получения сертификатов открытых ключей Face-To-Face - т.е. при личном обращении пользователя к оператору центра регистрации для получения сертификата открытого ключа.Режим взаимодействия модулей инфраструктуры открытых ключей в данном случае будет следующим:Для получения сертификата открытого ключа пользователю необходимо оформить заявку, содержащую личные данные и обратиться к оператору центра регистрации (RAO). Оператор центра регистрации должен проверить корректность предоставленных пользователем данных, сгенерировать пару ключей в формате PKCS#12 и сформировать запрос на получение сертификата открытого ключа. Запрос на получение сертификата открытого ключа формируется в формате PKCS#10 и содержит открытый ключ пользователя. Сгенерированный запрос оператор центра регистрации (модуль RAO) сохраняет в базе данных RA, работающей под управлением СУБД ORACLE. После этого, используя специализированный формат из группы стандартов PKIX, оператор (модуль RAO) сообщает центру регистрации (модуль RA) о поступившем запросе. Центр регистрации обрабатывает поступивший запрос на получение сертификата открытого ключа, проверяет корректность поступившего запроса, подписывает запрос своим собственным сертификатом и передает его центру сертификации, используя протокол TCP/IP и специализированный формат из группы стандартов PKIX. Центр сертификации принимает запрос, проверяет его корректность и осуществляет выпуск сертификата открытого ключа в стандарте X.509. Для предоставления доступа пользователям к сертификатам центр сертификации публикует выпущенные сертификаты в службе каталогов, используя протоколы LDAP или DAP. После этого, центр сертификации (CA) отправляет центру регистрации (RA) подписанное сообщение в формате PKIX, содержащий сертификат открытого ключа в формате PKCS#7 используя протокол TCP/IP. Центр регистрации (RA) принимает и проверяет целостность PKIX сообщения, записывает его в базу данных RA, после этого оператор центра регистрации (RAO) получает сертификат из базы данных RA.Полученный сертификат открытого ключа оператор центра регистрации импортирует в ранее сгенерированную пару открытого и закрытого ключей в формате PKCS#12 и передает пользователю. На последнем шаге пользователь должен импортировать полученный сертификат открытого ключа в хранилище сертификатов (открытых ключей) и после этого может начать использование данного сертификата в почтовых приложения, Web-навигаторах, приложениях, поддерживающих протокол IPSec и других. При оформлении заявки на получение сертификата пользователь может предоставить имеющийся у него открытый ключ в одном из форматов - PKCS#7, PEM (Privacy Enhanced Mail) или DEM (Distinguished Encoding Rules) однако, в этом случае оператор центра регистрации не сможет использовать модуль Key Archive Server для обеспечения резервирования и последующего восстановления ключей. Поэтому, режим предоставления пользователем открытого ключа применять не рекомендуется.Удаленный режим получения сертификатовЕсли компания располагает сетью удаленных филиалов, процедура получения сертификатов с использованием режима Face-To-Face выглядит достаточно сложной. Для решения задачи выпуска сертификатов и доставки их удаленным пользователям существует реализация инфраструктуры открытых ключей с использованием удаленного режима формирования запросов и получения сертификатов открытых ключей.Основу инфраструктуры открытых ключей составляют те же модули: центр сертификации, центр регистрации, модули оператора центра сертификации и центра регистрации. Однако, в данном режиме необходимо добавление модуля Gateway, который обеспечивает маршрутизацию и доставку запросов на получение сертификатов, сформированных удаленными пользователями. Модуль Gateway подключается к модулю RA, он обеспечивает получение запросов от пользователей и передачу их центру регистрации (RA). К модулю Gateway могут быть подключены Web-сервер и почтовый сервер, таким образом, пользователям предоставляется возможность получения сертификатов с помощью обычного Web-навиготора или с использованием своего почтового клиента. Способы получения сертификатовВозможны следующие режимы взаимодействия модулей инфраструктуры открытых ключей при получении сертификатов с использованием Web-навигаторов и почтовых клиентов:Получение сертификата с использованием Web-навигатора.Через Web-навигатор пользователь подключается к специальному ресурсу на Web-сервере и заполняет таблицу, содержащую личный данные пользователя. Взаимодействие между пользователем и web-сервером осуществляется по защищенному каналу, с использованием протокола HTTPS. Специальные ActiveX/Java приложения, которые входят в комплект поставки системы UniCERT, генерируют пару ключей пользователя (открытый и закрытый). При этом, данные приложения работают в памяти компьютера пользователя, таким образом, предотвращается компрометация закрытого ключа. Приложение ActiveX/Java, используя протокол TCP/IP, передает запрос на получение сертификата открытого ключа модулю Gateway в формате PKCS#10, содержащий открытый ключ пользователя. Модуль Gateway принимает запрос и передает его центру регистрации (RA). Центр регистрации проверяет корректность полученного запроса, подписывает его и сохраняет в базе данных RA.Оператор центра регистрации проверяет правомочность получения сертификата пользователем, после чего одобряет или отклоняет данный запрос. После этого, процедура получения сертификата открытого ключа аналогична пунктам 2-6 режима получения сертификата Face-To-Face за исключением того, что после получения RA выпущенного сертификата, центр регистрации передает его модулю Gateway. После получения сертификата, модуль Gateway записывает его в файловую систему web-сервера и по почтовому адресу пользователя, указанному при оформлении заявки на получение сертификата, отправляет ссылку на страницу web-сервера, которая содержит сертификат открытого ключа. Получение сертификата с использованием почтового клиентаПроцедура получения сертификата открытого ключа с использованием почтового клиента, установленного на рабочем месте пользователя, выглядит так же, как и процедура с использованием Web-навигатора. Однако, в этом случае, пользователь должен иметь сгенерированную пару открытого и закрытого ключей, а также обеспечить формирование запроса на получение сертификата открытого ключа в формате PKCS#10. Необходимо отметить, что во всех вариантах построения инфраструктуры открытых ключей возможно использование дополнительных модулей: Token Manager для обеспечения хранения сертификатов открытых ключей в форматах PKCS#12, PKCS#7, PEM или DEM на смарт-картах и токенах, Key Archive Server для обеспечения резервирования и восстановления личных ключей пользователей. pdf - версия Copyright Инфосистемы Джетwebmaster@jet.msk.suПЮГДЕКШ
ЩКЕЙРПНОЕВЭ dimplex model elba
КЕВЕМХЕ ОЮОХККНЛЮ
КЕВЕМХЕ ЫХРНБХДМШИ ФЕКЕГЮ
ЙЮЯЯНБШИ ЛЮЬХМЮ
ЬБЕИЖЮПХЪ ЙСКЭРСПЮ
ОПНЛЮКЭО
5440.14 (ЙПШЬЙЮ)
УНКНДМШИ ЬРЮЛОНБЙЮ
ДЩМЮЯ
ГНКНРМХЙ 264-27-00
ЩЛФЯ
ХГЛЕПХРЕКЭМШИ ЙНЛОКЕЙЯ Й2-79
ОПНУНДХРЭ НЯЛНРП ЦХМЕЙНКНЦ
ЯНТР ЮБРНЬЙНКЮ
ОНГХРХБМШИ ОЯХУНКНЦХЪ
ОПНЛШЬКЕМШИ ЮКЭОХМХГЛ
ЯОА ДНЯРЮБЙЮ
ЩКЕЙРПНОЕВЭ dimplex model brayford
ЯЮМТЮЪМЯ
РПХ ЖБЕРЮ: ЙПЮЯМШИ
ЛЕДХЙЮЛЕМРНГМШИ ОПЕПШБЮМХЕ АЕПЕЛЕММНЯРЭ
5440.15 (ЙПШЬЙЮ)
ЛЮВРЮ ТКЮЦЬРНЙ
ЩКЕЙРПНРЕКЭТЕП
БЮПНВМШИ ОНБЕПУМНЯРЭ hansa
БЮГЮ 2115
mobil pegasus
ЮДЕМНЛЮ ОПЕДЯРЮРЕКЭМШИ ФЕКЕГЮ
ЙЯ-4361
ОПНДЮРЭ ЙЮИР
ХГЦНРНБКЕМХЕ ОКЕМЙЮ
ЙСКЕП БХМВЕЯРЕП
РНМХПНБЮМХЕ ЯРЕЙКЮ
БШОХЯЙЮ ЕЦПО
НТНПЛКЕМХЕ ЯБЮДЕА
ОНЙПЮЯЙЮ ЮЩПНРЕМЙ
БЮГЮ 2114
ОБЯ
СГХ ЯДЕКЮРЭ
ТЕИПБЕПЙ ОПЮГДМХЙ
ЛСПЮМН
ЙНПОЮПЮРХБМШЕ ОПЮГДМХЙ
РПЮМЯОЕПЯНМЮКЭМШИ ОЯХУНКНЦХЪ
ОПНЛЮКЭО
ПСЙЮБХВЙЮ ДНЯРЮБЙЮ
ЙКЕХРЭ МЮМЕЯЕМХЕ
ЮЦЮР ЙПХЯРХ АХКЕР
БХДЕНЯЗЕЛЙЮ
ЙСОХРЭ ЩКЕЙРПНЩМЖЕТЮКНЦПЮТ
ЛЮЯКН ТНПЛЮ
ЩКЕЙРПНЙНРЕК
РПХ ЖБЕРЮ: ЙПЮЯМШИ
КСЙНБХВМШИ ЖБЕР
ЮЩПНАХЙЮ ЛЪВНЛ
metrobond
i`m o.k./ЦЕПНХ ЦПНА
ГСАМНИ ОПНРЕГ
ОНГХРХБМШИ ОЯХУНКНЦХЪ
РНМХПНБЮМХЕ ЯРЕЙКНОЮЙЕРНБ
ЛСЯРЮМЦ КЮГЕП
АКЧДН ТЮПТНП
ЯПЕДЯРБН ЯЮЛННАНПНМЮ
ЛЕДХЙЮЛЕРНГМНЕ АЕГНОЕПЮЖХНММНЕ ОПЕПШБЮМХЕ АЕПЕЛЕММНЯРЭ
ЙНМРЕИМЕПМШИ ЮБРНГЮОПЮБЙЮ
БПЕЛЪ ЙНЯРПНЛЮ
ХГАЮБХРЭЯЪ ЯОЮЛ
ЯАНП Д/ОНКНЯЙЮМХЪ ЦНПКН ГСАМНИ АНКЭ
ОПХЛЕМЕМХЕ ДНКНЛХРЮ
ЙНЛОЮМХЪ ЯЕМР-КЧЯХХ
УНЯЯЕ ЙЮПЕПЮЯ АХКЕР
sony ericsson k790i ЙСОХРЭ
ЙСПЭЕПЯЙХИ ОНВРЮ
ЦНЯСДЮПЯРБЕММШИ ЦЕПА
ДЕРЯЙХИ ЦХМЕЙНКНЦ
asus p505
ЙЮЯЯНБШИ ЛЮЬХМЮ
УНКНДХКЭМХЙ zanussi
ЖХЙКНМ ЯЖМ-40
АСЙЛЕЙЕПЯЙХИ ЙНМРНПЮ ТЮБНПХР
ЖХЙКНМ ЖНК
ЩКЕЙРПНЯВЕРВХЙ ЯЩР
КХБМЕЯАНПМШЕ ПЕЬЕРЙЮ
ЦНПЪВХИ НАЕД
ЯКЮАНЯРЭ ЦНКНБНЙПСФЕМХЕ
ХМДСЯРПХЮКЭМШИ ЛНМХРНП
БНЯЯРЮМНБКЕМХЕ СДЮКЕММШИ ХМТНПЛЮЖХЪ