ООО Топ Кросс


 
 Центр Сертификации

ЦС выполняет обработку запросов с Центра(ов) Регистрации, АП администраторов ЦС.

ЦС обеспечивает:

  • Разграничение доступа к элементам управления ЦС на основе состава представленного Администратором собственного электронного сертификата, определяющего ролевую принадлежность администратора и уровня полномочий или зарегистрированного сертификата(ов) сменного инженера – на ключах которого заверяются запросы с ЦР.

  • Создание ЭС, с форматом совместимым с международными рекомендациями Х.509 версии 3 (Х.509 v3).

  • Ведение актуальной базы справочника СОС, как совокупности двух составляющих – регулярного списка дискретного по времени и списка обновлений, отражающего изменения в статусах сертификатов от даты публикации основного списка и текущего состояния, согласно RFC 3039, совместимыми с X.509 v2 CRL.

  • Взаимодействие с КТ с целью выполнения для абонента явно заказанной процедуры генерации личных закрытого и открытого ключей.

  • Взаимодействие с КТ с целью выполнения для абонента процедуры заверения созданного ЭС.

  • Изменение статуса электронного сертификата отражающего: его приостановление, восстановление действия или аннулирование.

  • Поддержание в системе заданной политики безопасности обработки заявок на генерацию ключей, формирования сертификатов ключей ЭЦП или управления статусом ранее созданных ЭС.

  • Ведение локального архива - базы данных (совокупность взаимосвязанных цепочек запрос/ответ по производимым событиям в ЦС) и журналов событий в течение установленного срока.

  • Предоставление другим компонентам УЦ сервиса OCSP (RFC 2560, Online Certificate Status Protocol) для проверки действительности сертификатов открытых ключей.

  • Резервное копирование на внешние носители локального архива.

  • Подготовка информации к опубликованию в СтР.

  • Выполнение функций администрирования ЦС.


Структурная схема Центра Сертификации.

Текущая версия УЦ ведет специальные списки, так называемые, обновления к регулярным спискам отозванных сертификатов (дельта CRL). Эти списки являются текущим отражением изменения статуса выпущенных из-под конкретного издателя сертификатов в период между переизданиями регулярного списка отозванных сертификатов. Количество списков обновлений соответствует числу регулярных списков отозванных сертификатов и соответственно числу издателей. Наличие списков обновлений может быть использовано в автоматизированных системах, режим которых приближен к Real Time. Обновления СОС размещаются в специальном атрибуте объекта содержащего описание сертификата издателя в Реестре УЦ. При переиздании регулярного СОС список обновлений автоматически очищается. Указание на URI, содержащий оба СОС могут (определяется конфигурацией УЦ) присутствовать в выпускаемых сертификатах, и размещается в ЭС соответственно в расширениях CRLDistributionPoint и FreshestCRL. В текущей версии УЦ URI определено для протокола HTTP.

Абонентские Пункты Администраторов ЦС могут располагаться на самостоятельном сетевом интерфейсе, для структуры УЦ, где ЦС не имеет сетевого выхода в службу взаимодействия с пользователями. Администраторы ЦС имеют специальные сертификаты, которые отличаются от пользовательских сертификатов наличием мандатной метки доступа, определяющей уровень доступа и ролевой признак Администратора. В терминологии ASN1 метка записывается следующим образом:

Mandate Access Level Extension 
mandateAccessLevelExtension ::= SEQUENCE OF 
                   mandateAccessLevel SIZE (1..MAX)

mandateAccessLevel ::= SEQUENCE {
     mandateAccessPolicy   OBJECT IDENTIFIER,
     mandateAccessLabel    INTEGER (1..MAX)
}

Величина значения метки определяет уровень принятия решения данным Администратором и наследуется той CMC записью, которая была им завизирована.


Центр Сертификации © 2005-2012
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей