Масштабируемый удостоверяющий центр LISSICA

Масштабируемый удостоверяющий центр LISSICA

Юрий Орлов, ООО "ЛИССИ"

Алексей Степанов, ООО "ЛИССИ"

Александр Тараканов, ООО "ЛИССИ"

Функции УЦ LISSICA

В УЦ LISSICA реализуются следующие основные функции:

• прием, обработка и хранение запросов на сертификаты в формате PKCS#10;
• генерация ключевых пар (ГОСТ Р 3410-2001, RSA, DSA);
• выдача и переиздание сертификатов;
• издание списков отозванных сертификатов;
• импорт и экспорт ключевых пар, запросов, сертификатов, цепочек сертификатов, списков отозванных сертификатов в форматах DER, СER, PEM, PKCS#12,
  PKCS#8;
• публикация списков отозванных сертификатов;
• взаимодействие компонентов, а также доступ к ЦР
• взаимодействие компонентов, а также доступ к ЦР и ЦС по протоколу HTTPS;
• кросс-сертификация; поддержка протокола OCSP.

Компоненты внешнего сервера УЦ

На внешнем сервере УЦ функционируют следующие компоненты:

• публичный Веб-интерфейс;
• центр регистрации (ЦР);
• сервер LDAP.

Публичный Веб-интерфейс для доступа пользователей предназначен для формирования пользователями заявок на получение и отзыв сертификатов, просмотр и получение сертификатов и списков отозванных сертификатов.

Доступ пользователей к ЦР через публичный Веб-интерфейс может вестись как по протоколу HTTP, так и по протоколу HTTPS в анонимном режиме. Последний режим имеет свои преимущества. Во-первых, к ЦР могут обращаться только те пользователи, у которых на рабочем месте есть криптопровайдеры, поддерживающие российскую криптографию, а во-вторых, что более существенно, в данном режиме пользователь может удостовериться, что это именно тот центр регистрации, к которому он обращается.

Публичный интерфейс позволяет пользователю сформировать заявку на получение сертификата следующими способами (рис. 2):

• автоматическое определение типа браузера;
• использование браузера Microsoft Internet Explorer (IE);
• использование браузера Netscape, Mozilla и т.п.;
• использование готовой заявки в формате PKCS#10 (например, сформированной с помощью СКЗИ "LirSSL" или LirXCA);
• дополнительный тип заявки (данный способ используется для генерации ключевой пары на стороне сервера).

В первых трех случаях генерация ключевой пары будет производиться криптографическими средствами, установленными на стороне пользователя.

При использовании в качестве браузера IE на рабочем месте пользователя должны быть установлены криптопро-вайдер LISSI-CSP и провайдер безопасности LSChannel (или КриптоПро CSP/КриптоПро TLS, или аналогичные), а также CAPICOM (рис. 3.1).

В качестве хранилища ключевой пары может использоваться электронный ключ еТокеп (рис. 3.2).

При использовании в качестве браузера Netscape, Mozilla и т.д. на рабочем месте пользователя должны быть установлены LirNSS и LirCryptoky (при поддержке PKCS#11 с российской криптографией) (рис. 4).

Пользователь может получать сертификаты через публичный Веб-интерфейс или по электронной почте. Если ключевая пара была сгенерирована на стороне сервера, то пользователь получает закрытый ключ и сертификат в защищенном формате PKCS#12 (рис. 5).

Пользователь может импортировать сертификат и закрытый ключ из формата PKCS#12, скажем, на электронный ключ eToken. Соответствующий механизм для работы с российской криптографией встроен в браузеры IE, Konqueror и Netscape.

Полученный сертификат устанавливается в хранилище, где его можно просмотреть средствами браузера (рис. 6).

Через публичный интерфейс ЦР пользователь также имеет возможность просмотреть список действительных сертификатов, сертификатов с истекшим сроком действия, временно блокированных сертификатов и блокированных сертификатов, а также проверить сертификат, полученный от Веб-сервера, и блокировать сертификат.

Центр регистрации предназначен для получения и обработки регистрационных данных пользователей, запросов на издание и отзыв сертификатов, а также для публикации списка отозванных сертификатов.

Заявки пользователей сохраняются в базе данных (можно использовать Oracle, MуSQL, Postgres и т.д.). Функция просмотра, редактирования, утверждения или отклонения заявок входит в обязанности администратора ЦР (рис. 7).

Утвержденные заявки администратор передает в центр сертификации (ЦС).

В обязанности администратора ЦР также входит рассылка почтовых сообщений пользователям с PIN-кодом для отзыва сертификата.

Сервер LDAP предназначен для публикации списков отозванных сертификатов.

Каждый из перечисленных компонентов может функционировать на отдельном компьютере, т.е. все компоненты УЦ могут масштабироваться как по вертикали, так и по горизонтали.

Доступ администраторов ЦС, ЦР и LDAP осуществляется через Веб-интерфейс по протоколу HTTPS в авторизованном режиме с использованием сертификатов открытых ключей по ГОСТ Р 34.10-2001.

Обмен между ЦР и ЦС

На внутреннем сервере УЦ функционирует только ЦС, что позволило надежно защитить его от внешних атак. Оперативный обмен данными (заявки, сертификаты, списки отозванных сертификатов и т.п.) между ЦС и ЦР достигается использованием механизмов, заложенных в ПАК "SMS-FW". ЦС предназначен для приема, обработки и хранения утвержденных заявок на издание или отзыв сертификатов открытых ключей пользователей и администраторов, издание и блокирование сертификатов УЦ, издание списков отозванных сертификатов, ведение базы сертификатов. Администратор ЦС просматривает поступившие утвержденные заявки и принимает решение об издании или отзыве сертификатов (рис. 8).

Выписанные сертификаты ЦС передает в ЦР, откуда через публичный интерфейс их могут забирать пользователи.

Таким образом, использование в качестве платформы для построения УЦ ПАК "SMS-FW", с одной стороны, обеспечивает надежную защиту ЦС, а с другой - позволяет осуществлять обмен информацией между ними в реальном масштабе времени.