PKI (Public key infrastructure):

• 500 сертификатов выпускается каждый день;
• 30 секунд требуется на выпуск сертификата;
• в 3 раза сокращается нагрузка на УЦ.

Учёт и управление жизненным циклом сертификатов

Классический процесс выпуска сертификата предполагает определенный порядок действий, включающий в себя: подготовку ключевого носителя, создание запроса на выдачу сертификата путем внесения данных по пользователю и создание ключевой пары, запись выпущенного сертификата на ключевой носитель и т. д.

Все указанные процедуры требуют ручного ввода данных и осуществляются в разных приложениях, что занимает значительное время ответственного администратора. Когда в день выпускаются сотни сертификатов, а зачастую перевыпуск сертификатов осуществляется одномоментно, и тогда их счет может идти уже на тысячи — объемы трудозатрат специалистов становятся более чем заметны. Снизить нагрузку на администраторов можно за счет автоматизации процесса с выполнением всех действий по выпуску сертификата в «едином окне».

Система Avanpost PKI сопровождает полный цикл работы с сертификатами, начиная от создания запроса как администратором, так и самим субъектом (пользователем, владельцем ИС), заканчивая выдачей готового для использования сертификата субъекту с поддержанием его в актуальном состоянии в дальнейшем (отслеживание срока действия, изменение данных и статуса субъекта сертификата).

А также в поддержку входит:

• генерация ключевой пары осуществляется с использованием общепринятых криптографических стандартов, поддерживаются как отечественные криптографические провайдеры и ключевые носители, так и зарубежные;
• автоматическое заполнение полей шаблона заявления на выдачу сертификата на основе данных о пользователях, полученных из различных источников (кадровые системы, LDAP-каталоги, АБС и ДБО и т. д.);
• процесс рассмотрения и согласования запроса полностью реализуется системой (в том числе с возможностью дополнительной проверки данных во внешних системах и сервисах, например, СМЭВ);
• поддерживается автоматическая публикация выпущенного сертификата в различные внешние информационные системы и сервисы (в том числе и в ЕСИА);
• автоматизируется процесс непосредственного выпуска сертификата на УЦ и импорта выпущенного сертификата на ключевой носитель.

Чтобы снизить риски компрометации ключей, обеспечить непрерывность бизнеса и предоставления услуг, необходимо осуществлять ряд контрольных мероприятий, включающих аудит изменения персональной информации и статуса владельца сертификата, контроль сроков действия сертификатов и ключей, своевременный отзыв сертификатов и т. д. Ручное выполнение указанных процедур становится нереальным со значительным ростом числа сертификатов и обслуживаемых пользователей.

Avanpost PKI консолидирует и предоставляет ответственным специалистам всю необходимую информацию для автоматизированного управления жизненным циклом сертификатов:

• отзыв и приостановка действия сертификата при изменении статуса его владельца (например, увольнение или перевод);
• перевыпуск сертификата при изменении персональной информации владельца, а соответственно, и атрибутивного состава сертификата.

Внутренняя модель субъектов Avanpost PKI

Модель организации каталога субъектов в системе является иерархической и представлена в виде Центров регистрации и Компаний. В качестве субъектов может выступать как пользователь (сотрудник, физическое лицо), так и информационная система (например, веб-сервер).

Avanpost PKI поддерживает механизмы эффективного разграничения доступа администраторов в рамках существующей иерархии, а также возможность учета владельцев информационных систем и организации бизнес-процессов, основанных на данной информации (например, подача заявления на выпуск или перевыпуск сертификата для информационной системы).

Каталог субъектов в системе может вестись как вручную, так и автоматизировано с использованием интеграционных решений с внешними системами-источниками через особый интерфейс адресной книги Avanpost PKI.

Система поддерживает различные сценарии синхронизации, в том числе: полную автоматическую загрузку данных, частичную загрузку данных (по решению администратора), синхронизацию изменений.

Список поддерживаемых УЦ:

• КриптоПРО;
• RSA Keon;
• ViPNet;
• Check Point;
• Microsoft.

Как правило, любая крупная организация может использовать несколько удостоверяющих центров для разных целей. Например, выпуск сертификатов для юридически значимого документооборота осуществляется на аккредитованном УЦ на базе продуктов КриптоПро, а для удаленной аутентификации используется центр сертификации MS CA. Поэтому Avanpost PKI поддерживает одновременную работу с несколькими УЦ на базе программных решений разных производителей.

Выбор УЦ определяется шаблоном запроса на сертификат, который указывается при создании запроса. В настоящее время поддерживают наиболее популярные реализации УЦ: КриптоПро УЦ 1.5, КриптоПро УЦ 2.0, Microsoft CA, RSA Keon 6.0, Checkpoint, ViPNet и другие. Также Avanpost PKI поддерживает так называемый Offline УЦ, когда нет прямого взаимодействия с УЦ, а обмен осуществляется через промежуточные папки в файловой системе, что актуально при использовании внешних удостоверяющих центров, а также при наличии дополнительных требований к изоляции подсетей УЦ.