ООО Топ Кросс


 
 Центр Регистрации

ЦР обеспечивает принятие, предварительную обработку внешних запросов на создание сертификатов или на изменение статуса уже действующих сертификатов.

ЦР обеспечивает:

  • Разграничение доступа к элементам управления ЦР на основе состава представленного Администратором взаимодействия с пользователем собственного электронного сертификата, определяющего ролевую принадлежность администратора и уровня полномочий.

  • Получение и обработку запроса от Администраторов взаимодействия с пользователями на выпуск сертификата или изменение статуса уже выпущенного сертификата с последующей передачей запроса в ЦС.

  • Хранение заверенных запросов и журналов событий в течение установленного срока, предусмотренного регламентом работы системы, в составе которой функционирует УЦ.

  • Резервное копирование на внешние носители локального архива.

  • Выполнение функций администрирования ЦР.

Политика безопасности ЦР, может предполагать обработку в ЦР следующих видов запросов:

  • Запрос в формате PKCS#10. Область действия – запрос на создание электронного сертификата (ЭС) с локально (внешне, по отношению к УЦ) формированием ключевой пары. Срок действия сертификатов, созданных с помощью данного вида запросов определен в конфигурации УЦ. На основе технологии данного вида запроса (в зависимости от конфигурации и принятой политики безопасности) в УЦ считаться допустимыми могут следующие разновидности:

    • Запрос сформирован не зарегистрированным ранее пользователем. Особенностью формата PKCS#10 является то, что запрос на формирование сертификата подписывается на закрытом ключе, соответствующий открытый ключ которого еще не зарегистрирован в системе и на него еще не выпущен сертификат. Поэтому для ЦР запрос является анонимным, фиксируется лишь тот факт, что составитель запроса владеет закрытым ключом и для соответствующего ему открытого ключа запрашивает выпустить заверенный в УЦ сертификат. Подобного рода запросы непосредственно не рекомендуются к обработке в ЦР.

    • Запрос сформирован как переиздание уже существующего, действующего на данный момент времени сертификата. Запрос упаковывается в оболочку CMC (RFC 2797). Техническая реализация позволяет сформировать такого вида запрос, не предоставляя пользователю возможности внести изменения в состав сертификата, причем контроль ведется как на абонентском пункте, так и на программном уровне в ЦР. Недостатком данного вида запросов является отсутствие контроля над числом самостоятельно выпущенных сертификатов пользователя.

    • Запрос сформирован на основе созданного ранее специального регистрационного сертификата (содержится специальное расширение, ограничивающее область применения только регистрационными процедурами). Запрос упаковывается в оболочку CMC (RFC 2797) с подписью на закрытом ключе регистрационного сертификата. Техническая реализация обеспечивает одноразовое использование регистрационных сертификатов.

    • Запрос создан самим пользователем и доставлен в службу Администраторов взаимодействия с пользователями (нет непосредственной доставки запроса в ЦР). Предварительно подобный запрос должен быть проверен на предмет истинности указанной информации и упакован в CMS за подписью Администратора взаимодействия с пользователями имеющего полномочия по выпуску сертификатов. Таким же способом могут быть приняты запросы и в режиме переиздания для собственных или регистрационных сертификатов.

  • Запросы в формате CRMF (RFC 2511) созданные на АП и упакованные в CMC. Область действия – запросы с генерацией ключей средствами УЦ. Данный запрос имеет ЭЦП на ранее зарегистрированном сертификате (сертификате Администратора взаимодействия с пользователем) открытого ключа, это положение лежит в основе политики безопасности принятия решения по обслуживанию запроса и порожденные в ЦР CMC записи имеют ЭЦП уже известного инициатора запроса. Аутентификация осуществляться как по ЭЦП инициатора запроса, так представленным ЭС при образовании защищенного соединения от АП к ЦР.

  • Запросы на управление статусом выпущенного сертификата. Запрос упаковывается в оболочку CMC (RFC 2797) с подписью на закрытом ключе либо самого пользователя в режиме управления статусом собственного сертификата, либо Администратора в режиме управления статусом пользовательских сертификатов в объеме своих полномочий.

Выбор того или иного вида запроса определяется уровнем доверия УЦ и регламентом работы всей АС, в состав которой входит УЦ.


Структурная схема Центра Регистрации.


Центр Регистрации © 2005-2012
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей