ООО Топ Кросс


 
 Абонентский Пункт

АП обеспечивает административное управление компонентами УЦ. АП функционирует под управлением ОС Windows XP/2000. Рекомендуется использование сертифицированной Государственной технической комиссии при Президенте РФ (ФСТЭК России) версии операционной системы (Windows XP), а также в качестве хранилища ключей – сертифицированных аппаратных токенов (eToken PRO cert) в сочетании с системой контроля доступа.

Общее описание в формате CHM.

Абонентский Пункт обеспечивает решение следующих задач в рамках управления компонентами УЦ и технологии открытых ключей (PKI):

  • Функциональная поддержка Абонентского Пункта Администраторов Удостоверяющего Центра (УЦ) сертификатов ключей подписи позволяет выполнять штатные процедуры по созданию и обслуживанию цифровых сертификатов.

    • Простой запрос на формирование сертификата. Такой вид запроса предназначен только для локальной генерации ключей и формирования запроса на создание сертификата в формате PKCS#10.

    • Запрос на создание сертификата с генерацией ключей средствами Удостоверяющего Центра. Запрос оформлен в формате CRMF (RFC 2511) и выполняется в виде CMC записи (RFC 2797).

    • Формирование запросов на управление статусом уже выпущенных сертификатов: приостановление действия сертификата, восстановление или отзыв.

    • Обработка внешне созданного PKCS#10 запроса в DER представлении и формирование CMC запроса на создание сертификата.

    Все CMC запросы имеют ЭЦП («обернуты» в CMS) на закрытом ключе Администратора.

  • Хранилище сертификатов и запросов. Хранилище может быть размещено на файловой системе или в памяти USB-токена как информационный блок в формате PKCS#12. Доступ к хранилищу защищен паролем, дополнительно предоставляется возможность сменить пароль на хранилище. Хранилище обеспечивает работу со структурированной информацией, которой являются личные сертификаты вместе с закрытыми ключами, сертификаты контрагентов, сертификаты удостоверяющих центров, списки отозванных сертификатов. Формат используемых сертификатов совместим с международными рекомендациями X.509v3 ( RFC 2459, RFC 3039 ), может восприниматься в представлении/кодировках PKCS#12, DER или PEM и по составу соответствует положениям ФЗ "Об электронной цифровой подписи". Реализация хранилища поддерживает элементарные операции с хранимой информацией, такие как:

    • "Импорт".
    • "Экспорт" выбранной записи из текущей базы.
    • "Просмотр" выбранной записи. При просмотре сертификата или запроса дополнительно предоставляется возможность распечатать содержание.
    • "Удаление" выбранной записи.
    • Для сертификатов дополнительно допустим режим проверки сертификата на действительность с учетом построения цепочки проверки и регулярных СОС, а также обновлений к регулярным СОС. В общем случае алгоритм проверки состоит из следующих этапов:
      • Анализ действительных списков в хранилище АП.
      • В сетевом справочнике (в настройках АП должен быть указан адрес LDAP справочника).
      • По URI для протокола HTTP из расширений CRLDistributionPoint (для регулярного СОС) и FreshestCRL (для обновлений регулярного СОС) из состава сертификата.

  • Работа с заверенными документами.

    • Выработка электронной цифровой подписи на электронном документе в формате CMS/PKCS#7.
      • Подпись осуществляется только на «личных» ключах из хранилища сертификатов.
      • Поддерживает два способа выработки ЭЦП:
        • Данные и ЭЦП содержатся в одном файле.
        • ЭЦП размещена в отдельном от данных файле.
      • ЭЦП может содержать ряд подписанных атрибутов:
        • Наименование заверяемого ресурса (в том числе и сетевого) – данных.
        • Дата создания подписи.
        • Текстовые комментарии (визу) к электронному документу.
        • Включать (по умолчанию) – исключать из состава подписи сертификат автора.
      • Поддержка COM технологии:
        • Интеграция с продуктами MS Office.
        • Выработка ЭЦП над содержанием HTML форм.
        • Интеграция с системами электронного документооборота сторонних производителей.
    • Проверка электронной цифровой подписи.
      • Проверка может быть выполнена, даже если сертификат автора отсутствует в локальном («чужие») хранилище сертификатов.
      • При проверке поддерживаются два способа представления ЭЦП (в отдельном файле и вместе с электронном документом).
      • Возможна детализация составляющих подписи (сертификат автора, подписанные атрибуты, не подписанные атрибуты).
      • Если подпись была размещена вместе с документом, то возможно произвести процедуру «снятия подписи» - восстановление самого документа.
      • Если подпись была размещена вместе с документом и содержала подписанный атрибут с наименованием ресурса, то возможен вызов приложения, которым был создан электронный документ, по зарегистрированному расширению.
      • Существует возможность произвести распечатку «формуляра ЭЦП» на принтере. Данная функция позволяет интегрировать элементы электронного документооборота в обычный «бумажный», подведя некоторые звенья технологической цепочки под действие ФЗ «Об ЭЦП», например, для по шаговой распечатки «истории» разбора конфликтной ситуации.
      • Существует возможность производить проверку ЭЦП электронных документов размещенных на сетевых ресурсах, например, на гипертекстовых серверах. Тем самым предоставляется механизм размещения заверенных публичных электронных документов, таких как, регламентируемые официальные документы самого УЦ, PKI системы и т. п.
    • Взаимодействие с Сервером проверки и сертификации информации (DVCS) для выполнения запросов пользователей на проверку ЭЦП:
      • Формирование заявки на правообладание информации, проверку ЭЦП и действительность сертификата.
      • Прием и проверка квитанций.
      • Транспортировка запросов/квитанций на DVCS.

  • Организация защищенного соединения с управляющими компонентами УЦ. Туннелирование прикладных протоколов в защищенный протокол TLS v.1 обеспечивается средствами локального (запущенного на Абонентском Пункте) специализированного SOCKS proxy. Реальное клиентское приложение, например, Интернет браузер, должно быть сконфигурировано на работу с локальным SOCKS proxy. Локальный SOCKS proxy, используя ключи из хранилища сертификатов, обеспечивает инкапсуляцию соединения с ресурсом в защищенный протокол TLS. На те приложения, которые не взаимодействуют с ресурсом через локальный SOCKS proxy, присутствие АП влияние не оказывает. Для образования защищенных соединений на АП должен быть настроен список ресурсов, с которыми администратор должен взаимодействовать по защищенному соединению. Настройка соединения с защищенным ресурсом сводится к указанию IP адреса или DNS имени ресурса и номера порта из диапазона 1 - 65535 в специальном диалоговом окне, возможно также указать целую сеть или ее фрагмент как защищенную.


Структурная схема Абонентского Пункта.

АП может выступать в качестве рабочих мест администраторов ЦА, ЦР и ЦС.


Абонентский Пункт © 2005-2012
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей