7 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Установка списка отозванных сертификатов

Список отзывов сертификатов (Certificate revocation list) — представляет собой файл указывающий на список сертификатов с указанием серийного номера сертификата, даты отзыва, причина отзыва. В целом списки отзыва сертификатов (CRL) используются для передачи сведений об отзыве сертификатов пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

При каких ситуациях ваш сертификат может попасть в указанный список:

1. При выдаче сертификата УЦ ошибся в части реквизитов, поэтому был выдан новый сертификат.

2. Сертификатом завладело третье лицо, кто мог бы подписывать за вас (т.н. компрометация ключа).

3. Сертификат был отозван по заявлению владельца сертификата.

4. Сменилось уполномоченное лицо, владеющее сертификатом;

Формируется указанный список центром сертификации и публикуется в любое доступное место для пользователей, чтобы пользователь в свою очередь мог его установить.

После проведенной установки CRL файла ПО использующее функции подписания и шифрования будет проверять находится ли ваш сертификат в указанном списке. В случае если ваш сертификат находится в списке, то подписывать и шифровать файлы и документы данным сертификатом вы уже не сможете.

Что это нам дает? Прежде всего вы всегда можете быть уверены, что сертификат, с которым вы сейчас работаете, является действующим и легитимность выполняемых действий будет подтверждена. Соответственно все законно и мы можем работать в дальнейшем спокойно.

Предположим, что кому-то (или чему-то) сертификат больше не нужен (человек уволился, скомпрометирован секретный ключ и т.п.). Срок действия сертификата ещё не кончился, но нужно, чтобы он не работал. Для этого администратор CA обновляет список отозванных сертификатов и размещает его в доступном для всех месте.

Петя уволился (сам или нет..)
1. На место Пети посадили Колю, который получил полный доступ к всей информации Пети. При этом ещё не все знают, что Пети нет.
2. Маша (которая ещё не знает, что случилось) шлёт Пете файл (что-то личное?!), зашифровав его Петиним открытым ключом.
3. Коля имеет доступ к секретному ключу Пети и может прочитать информацию от Маши. Так же не забываем, что он может ставить ЭЦП от имени Пети.

Если бы Маша проверила Петин сертификат по CRL, то она бы узнала, что сертификатом Пети шифровать уже нельзя. Да и другие люди должны знать, что Петя ничего больше подписывать не должен. Т.е. все должны регулярно обновлять CRL (если это не делается автоматически или ПО само не производит on-line проверку сертификата).

Таким нехитрым образом происходит работа CRL. Более глубже вдаваться в теорию работы со списками отзывов сертификатов нет смысла, поэтому перейдем к практике.

Процесс построения удостоверяющего центра представляется в виде последовательности следующих этапов:

  1. Проведение обследования информационной инфраструктуры организации и определение базовой программно-аппаратной платформы для построения информационной системы удостоверяющего центра;
  2. При необходимости, подбор и/или подготовка персонала соответствующего требованиям, предъявляемым к удостоверяющим центрам;
  3. Подготовка комплекта документов, необходимых для лицензирования;
  4. Развертывание информационной системы удостоверяющего центра:
    • монтаж и установка программно-аппаратных средств;
    • выпуск и установка сертификата ключа подписи уполномоченного лица удостоверяющего центра;
    • определение регламента получения списка отозванных сертификатов (CRL) вышестоящего удостоверяющего центра, выпуска CRL проектируемого удостоверяющего центра;
  5. Опытная эксплуатация удостоверяющего центра и подготовка организационно-методических документов (Регламент, инструкции и др.);
  6. Промышленная эксплуатация и сопровождение удостоверяющего центра.

Спецификация технического решения с использованием надстройки для Windows 2003 Server

Надстройка для Windows 2003 Server
Производитель:Корпорация Майкрософт,
ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР»
Платформы:Windows2003Server
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:Дополнительно к Windows 2003 Центр Регистрации — надстройка над Microsoft 2003 Server Удостоверяющий Центр v.1.1. Позволяет формировать сертификаты открытых ключей пользователей и администраторов, аудиторов и операторов, списки отозванных сертификатов, хранить эталонную базу сертификатов и списков отозванных сертификатов, регистрационные данные пользователей, запросы на сертификаты и сертификаты пользователей и событий Удостоверяющего Центра.
Иерархия:Глубина иерархии соответствует глубине иерархии службы сертификации Windows 2003 Server.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Поддерживается регистрация пользователя, генерация запроса на сертификат и выдача сертификата при помощи web-интерфейса в распределенном режиме.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через web-интерфейс.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений. Поддерживается Active directory.
Поддержка OCSP:OCSP поддерживается, как дополнительный сервис
Хранение сертификатов:Любая поддерживающая ODBC база данных, например, My Sql, база данных службы сертификации Windows.
Резервное хранение сертификатов:Стандартными средствами Windows.
Управление:Управление и мониторинг сервера осуществляется из стандартной консоли управления, расширенной необходимыми вставками (Snap-in), а так же через web-интерфейс.
Средства разработки:Поддержка в SDK и DDK, Visual.NET.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:180 000 рублей без ограничений использования
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость – 271 489 рублей (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 1)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость – 886 489 рублей

Спецификация технического решения с использованием «КРИПТОПРО УЦ»

Программный комплекс «КриптоПро УЦ»
Производитель:Корпорация Майкрософт, ООО «Крипто-Про»
Платформы:Windows2000Server, Windows2000AdvancedServer
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:Stand-alone Root CA — центр сертификации автономной организации.
Stand-alone Subordinate CA — модуль выдачи сертификатов вне структуры домена Windows 2000.
Иерархия:Глубина иерархии в пределах цепочки подчиненных друг другу ЦС не ограничена.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Уровень предприятия — выпуск осуществляется автоматически. Необходимое условие — настройка схемы и политик домена. Механизмы — RPC, DCOM. Возможно использование АРМ администратора.
Уровень автономной организации — web-интерфейс, e-mail, RPC и DCOM.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через административную консоль.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений. Active directory не поддерживается по соображениям безопасности.
Поддержка OCSP:Не поддерживает OCSP
Хранение сертификатов:MS SQL Server, база данных службы сертификации Windows
Резервное хранение сертификатов:Средствами стандартного SQL Server Backup, стандартными средствами Windows.
Управление:Управление и мониторинг сервера осуществляется из стандартной консоли управления, расширенной необходимыми вставками (Snap-in), а так же средствами консоли Администратора.
Средства разработки:Поддержка в SDK и DDK, Visual.NET.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:
Количество зарегистрированных пользователей на Центре сертификации «КриптоПро «УЦ»Стоимость ПАК «КриптоПро «УЦ» в стандартной конфигурацииСтоимость ПАК «КриптоПро «УЦ» в расширенной конфигурации
10060 000р.150 000р.
20090 000р.180 000р.
500120 000р.210 000р.
1000150 000р.240 000р.
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость — 376 084 рубля (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 2)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость — от 911 084 рубля

Спецификация технического решения с использованием RSA Certificate Authority

RSA Certificate Authority
Производитель:RSA Security
Платформы:Windows2000Server
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:RSA Keon CA — центр сертификации, совмещающий выпуск, отзыв, поддержку базы выданных сертификатов и генерацию CRL.
Certificate Manager способен напрямую обрабатывать клиентские запросы и/или принимать их от RSA Keon RA.
RSA Keon RA — компонент структуры RSA Keon, проверяющий подлинность пользователя и обеспечивающий выпуск сертификатов.
RSA Keon Security Server — осуществляет аутентификацию и авторизацию пользователя, проверку действительности сертификата, хранение мандатов и профилей пользователя.
RSA Keon Agents — модули обеспечивающие single sign-on в инфраструктуре RSA Keon, шифрование сеанса, аутентификацию и аудит событий.
Иерархия:Глубина иерархии не ограничена.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Поддерживает только один вид запроса выдачи сертификатов — удаленный, при помощи web-интерфейса.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через web-интерфейс.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений.
Поддержка OCSP:Поддерживается OCSP.
Хранение сертификатов:Любая служба каталогов, совместимая со спецификацией LDAP.
Резервное хранение сертификатов:Стандартными средствами Windows.
Управление:Через web-интерфейс.
Средства разработки:Прилагается PKI API — RSA Keon OneStep, предоставляющий доступ ко всем основным функциям СА.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:$26050 за 1000 сертификатов
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость — 269 372 рубля (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 3)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость — от 1 439 822 рубля

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Наименование программных и аппаратных средствКоличество (шт)Стоимость (руб.)
Сервер Центра Сертификации (Win/Intel)170 000
АРМ администратора120 000
АРМ делопроизводителя120 000
Источник бесперебойного питания UPS класса On-Line (для ЦС, ЦР)118 500
Источник бесперебойного питания UPS класса Line-Interactive для АРМ26 000
3C16792 OfficeConnect Switch 1612 800
Monitor/Keyboard/Mouse/Switch118 000
USB-ключевые носители + USB-удлинители23 000
Шкаф серверный в комплекте145 000
Принтер15 000
Базовая ОС для ЦР и ЦС Windows 2003 Server OEM120 329
Монтаж на месте заказчика142 860
Итого стоимость аппаратуры и ОС271 489

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Наименование программных и аппаратных средствКоличество (шт)Стоимость (руб.)
Сервер Центра Сертификации (Win/Intel)170 000
Сервер Центра Регистрации (Win/Intel)170 000
АРМ администратора120 000
АРМ делопроизводителя120 000
Источник бесперебойного питания UPS класса On-Line (для ЦС, ЦР)237 000
Источник бесперебойного питания UPS класса Line-Interactive для АРМ26 000
3C16792 OfficeConnect Switch 1612 800
Monitor/Keyboard/Mouse/Switch118 000
USB-ключевые носители + USB-удлинители23 000
Шкаф серверный в комплекте145 000
Принтер15 000
Базовая ОС для ЦС Windows 2000 Server SP4 OEM236 424
Монтаж на месте заказчика142 860
Итого стоимость аппаратуры и ОС376 084

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Для установки данных сертификатов, необходимо в обозревателе Internet Explorer перейти в «Свойства браузера» («Свойства обозревателя»). Данный пункт находится во вкладке «Сервис» (либо изображение шестеренки в новых версиях обозревателя – ) (Рис. 1).

Также можно открыть «Свойства браузера» («Свойства обозревателя») через «Панель управления» (с отображением мелких значков) Вашей операционной системы.

Рис. 1 Расположение раздела «Сервис» — «Свойства браузера» в Internet Explorer.

Далее выберите вкладку «Содержание» и нажмите на кнопку «Сертификаты» (Рис. 2).

Рис. 2 «Содержание» — «Сертификаты»

1) В открывшемся окне следует выбрать используемый сертификат и дважды нажать на него (Рис. 3).

Рис. 3 Список сертификатов, установленных на компьютере

2) Далее в новом окне перейти на вкладку «Состав» (Рис. 4, №1). Для установки списка отозванных сертификатов найти строку «Точки распространения сп…» (Рис. 4, №2).

В информационном окне, расположенном ниже, в графе «Полное имя» скопировать при помощи клавиатуры (горячих клавиш Ctrl+C) ссылку (начиная с букв “http” до конца строки) (Рис. 4, №3).

При работе в окне «Сертификат» обычные способы копирования не работают. Для копирования применяйте горячие клавиши клавиатуры (Ctrl+C – копировать, Ctrl+V – вставить).

Рис. 4 Состав сертификата

3) В окне Internet Explorer, в адресную строку вставляется ранее скопированная ссылка (Рис. 5).

Рис. 5 Адресная строка интернет-обозревателя

4) После перехода по ссылке браузер предложит три варианта действия для данного объекта. Необходимо выбрать пункт «Сохранить» (Рис. 6).

Рис. 6 Окно загрузки

5) После загрузки нажмите на «Открыть папку». Откроется окно Windows, где загруженный файл будет подсвечен синим цветом.

6) Для установки списка отозванных сертификатов на ранее загруженном файле необходимо нажать правой кнопкой мыши и выбрать строку «Установить список отзыва (CRL)» (Рис. 7, №2).
При установке корневого сертификата выбираем строку «Установить сертификат».

Рис. 7 Установка списка отзыва

7) В появившемся окне нажмите копку «Далее».

8) Из предложенных вариантов выберите «Поместить все сертификаты в следующее хранилище», и нажмите «Обзор» (Рис. 8).

Рис. 8 Выбор места установки сертификата

9) В новом появившемся окне поставьте галочку напротив надписи «Показать физические хранилища» (Рис. 9, №1). Откройте раздел «Доверенные корневые центры сертификации» (Рис. 9, №2).

Рис. 9 Выбор хранилища сертификата

Если в составе раздела есть «Локальный компьютер» выберите его и нажмите «ОК». В противном случае выберите весь раздел.

10) Нажмите кнопку «Далее», а затем «Готово».

11) Дождитесь информационного сообщения «Импорт успешно выполнен».

Повторите аналогичную процедуру с пункта 2.4 для установки Корневого сертификата удостоверяющего центра. На данном этапе вместо «Точек распространения..» выберите «Доступ к информации о центрах…».

Формирование CRL

CRL формируется также на самом ЦС довольно нехитрыми действиями.

1. Зайдите в консоль ЦС. Выбираем раздел «Отозванные сертификаты. Вызовем контекстное меню и выберем пункт «Все задачи» -> «Публикация».

Выберите тип публикуемого CRL: полный или разностный. Основное отличие это формирование полного списка или за выбранный при настройке период публикации. Если в вашей организации выдачей сертификатов не занимаются каждый день, и список формируемых сертификатов не велик, то лучше выбрать тип «Полный». После выполнения указанных действий, получаем список отозванных сертификатов.

Также сформировать список CRL можно и при помощи командной строки вызвав команду certutil -crl.

2. После публикации указанного списка, необходимо его сформировать в файл. Для этого зайдите в веб-форму ЦС. Выберите действие «Загрузка сертификата ЦС, цепочки сертификатов или CRL» -> «Загрузка сертификата ЦС, цепочки сертификатов или CRL». Сохраните указанный файл на компьютере.

После проделанных операций мы получаем список отзывов сертификата. Выглядит он следующим образом:

Замечаем, что в указанном списке уже есть наш сертификат, который мы отозвали. Операция формирования CRL завершена, перейдем к следующему пункту

Процесс построения удостоверяющего центра представляется в виде последовательности следующих этапов:

  1. Проведение обследования информационной инфраструктуры организации и определение базовой программно-аппаратной платформы для построения информационной системы удостоверяющего центра;
  2. При необходимости, подбор и/или подготовка персонала соответствующего требованиям, предъявляемым к удостоверяющим центрам;
  3. Подготовка комплекта документов, необходимых для лицензирования;
  4. Развертывание информационной системы удостоверяющего центра:
    • монтаж и установка программно-аппаратных средств;
    • выпуск и установка сертификата ключа подписи уполномоченного лица удостоверяющего центра;
    • определение регламента получения списка отозванных сертификатов (CRL) вышестоящего удостоверяющего центра, выпуска CRL проектируемого удостоверяющего центра;
  5. Опытная эксплуатация удостоверяющего центра и подготовка организационно-методических документов (Регламент, инструкции и др.);
  6. Промышленная эксплуатация и сопровождение удостоверяющего центра.

Спецификация технического решения с использованием надстройки для Windows 2003 Server

Надстройка для Windows 2003 Server
Производитель:Корпорация Майкрософт,
ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР»
Платформы:Windows2003Server
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:Дополнительно к Windows 2003 Центр Регистрации — надстройка над Microsoft 2003 Server Удостоверяющий Центр v.1.1. Позволяет формировать сертификаты открытых ключей пользователей и администраторов, аудиторов и операторов, списки отозванных сертификатов, хранить эталонную базу сертификатов и списков отозванных сертификатов, регистрационные данные пользователей, запросы на сертификаты и сертификаты пользователей и событий Удостоверяющего Центра.
Иерархия:Глубина иерархии соответствует глубине иерархии службы сертификации Windows 2003 Server.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Поддерживается регистрация пользователя, генерация запроса на сертификат и выдача сертификата при помощи web-интерфейса в распределенном режиме.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через web-интерфейс.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений. Поддерживается Active directory.
Поддержка OCSP:OCSP поддерживается, как дополнительный сервис
Хранение сертификатов:Любая поддерживающая ODBC база данных, например, My Sql, база данных службы сертификации Windows.
Резервное хранение сертификатов:Стандартными средствами Windows.
Управление:Управление и мониторинг сервера осуществляется из стандартной консоли управления, расширенной необходимыми вставками (Snap-in), а так же через web-интерфейс.
Средства разработки:Поддержка в SDK и DDK, Visual.NET.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:180 000 рублей без ограничений использования
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость – 271 489 рублей (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 1)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость – 886 489 рублей

Спецификация технического решения с использованием «КРИПТОПРО УЦ»

Программный комплекс «КриптоПро УЦ»
Производитель:Корпорация Майкрософт, ООО «Крипто-Про»
Платформы:Windows2000Server, Windows2000AdvancedServer
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:Stand-alone Root CA — центр сертификации автономной организации.
Stand-alone Subordinate CA — модуль выдачи сертификатов вне структуры домена Windows 2000.
Иерархия:Глубина иерархии в пределах цепочки подчиненных друг другу ЦС не ограничена.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Уровень предприятия — выпуск осуществляется автоматически. Необходимое условие — настройка схемы и политик домена. Механизмы — RPC, DCOM. Возможно использование АРМ администратора.
Уровень автономной организации — web-интерфейс, e-mail, RPC и DCOM.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через административную консоль.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений. Active directory не поддерживается по соображениям безопасности.
Поддержка OCSP:Не поддерживает OCSP
Хранение сертификатов:MS SQL Server, база данных службы сертификации Windows
Резервное хранение сертификатов:Средствами стандартного SQL Server Backup, стандартными средствами Windows.
Управление:Управление и мониторинг сервера осуществляется из стандартной консоли управления, расширенной необходимыми вставками (Snap-in), а так же средствами консоли Администратора.
Средства разработки:Поддержка в SDK и DDK, Visual.NET.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:
Количество зарегистрированных пользователей на Центре сертификации «КриптоПро «УЦ»Стоимость ПАК «КриптоПро «УЦ» в стандартной конфигурацииСтоимость ПАК «КриптоПро «УЦ» в расширенной конфигурации
10060 000р.150 000р.
20090 000р.180 000р.
500120 000р.210 000р.
1000150 000р.240 000р.
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость — 376 084 рубля (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 2)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость — от 911 084 рубля

Спецификация технического решения с использованием RSA Certificate Authority

RSA Certificate Authority
Производитель:RSA Security
Платформы:Windows2000Server
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:RSA Keon CA — центр сертификации, совмещающий выпуск, отзыв, поддержку базы выданных сертификатов и генерацию CRL.
Certificate Manager способен напрямую обрабатывать клиентские запросы и/или принимать их от RSA Keon RA.
RSA Keon RA — компонент структуры RSA Keon, проверяющий подлинность пользователя и обеспечивающий выпуск сертификатов.
RSA Keon Security Server — осуществляет аутентификацию и авторизацию пользователя, проверку действительности сертификата, хранение мандатов и профилей пользователя.
RSA Keon Agents — модули обеспечивающие single sign-on в инфраструктуре RSA Keon, шифрование сеанса, аутентификацию и аудит событий.
Иерархия:Глубина иерархии не ограничена.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Поддерживает только один вид запроса выдачи сертификатов — удаленный, при помощи web-интерфейса.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через web-интерфейс.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений.
Поддержка OCSP:Поддерживается OCSP.
Хранение сертификатов:Любая служба каталогов, совместимая со спецификацией LDAP.
Резервное хранение сертификатов:Стандартными средствами Windows.
Управление:Через web-интерфейс.
Средства разработки:Прилагается PKI API — RSA Keon OneStep, предоставляющий доступ ко всем основным функциям СА.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:$26050 за 1000 сертификатов
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость — 269 372 рубля (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 3)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость — от 1 439 822 рубля

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Наименование программных и аппаратных средствКоличество (шт)Стоимость (руб.)
Сервер Центра Сертификации (Win/Intel)170 000
АРМ администратора120 000
АРМ делопроизводителя120 000
Источник бесперебойного питания UPS класса On-Line (для ЦС, ЦР)118 500
Источник бесперебойного питания UPS класса Line-Interactive для АРМ26 000
3C16792 OfficeConnect Switch 1612 800
Monitor/Keyboard/Mouse/Switch118 000
USB-ключевые носители + USB-удлинители23 000
Шкаф серверный в комплекте145 000
Принтер15 000
Базовая ОС для ЦР и ЦС Windows 2003 Server OEM120 329
Монтаж на месте заказчика142 860
Итого стоимость аппаратуры и ОС271 489

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Наименование программных и аппаратных средствКоличество (шт)Стоимость (руб.)
Сервер Центра Сертификации (Win/Intel)170 000
Сервер Центра Регистрации (Win/Intel)170 000
АРМ администратора120 000
АРМ делопроизводителя120 000
Источник бесперебойного питания UPS класса On-Line (для ЦС, ЦР)237 000
Источник бесперебойного питания UPS класса Line-Interactive для АРМ26 000
3C16792 OfficeConnect Switch 1612 800
Monitor/Keyboard/Mouse/Switch118 000
USB-ключевые носители + USB-удлинители23 000
Шкаф серверный в комплекте145 000
Принтер15 000
Базовая ОС для ЦС Windows 2000 Server SP4 OEM236 424
Монтаж на месте заказчика142 860
Итого стоимость аппаратуры и ОС376 084

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Для установки данных сертификатов, необходимо в обозревателе Internet Explorer перейти в «Свойства браузера» («Свойства обозревателя»). Данный пункт находится во вкладке «Сервис» (либо изображение шестеренки в новых версиях обозревателя – ) (Рис. 1).

Также можно открыть «Свойства браузера» («Свойства обозревателя») через «Панель управления» (с отображением мелких значков) Вашей операционной системы.

Рис. 1 Расположение раздела «Сервис» — «Свойства браузера» в Internet Explorer.

Далее выберите вкладку «Содержание» и нажмите на кнопку «Сертификаты» (Рис. 2).

Рис. 2 «Содержание» — «Сертификаты»

1) В открывшемся окне следует выбрать используемый сертификат и дважды нажать на него (Рис. 3).

Рис. 3 Список сертификатов, установленных на компьютере

2) Далее в новом окне перейти на вкладку «Состав» (Рис. 4, №1). Для установки списка отозванных сертификатов найти строку «Точки распространения сп…» (Рис. 4, №2).

В информационном окне, расположенном ниже, в графе «Полное имя» скопировать при помощи клавиатуры (горячих клавиш Ctrl+C) ссылку (начиная с букв “http” до конца строки) (Рис. 4, №3).

При работе в окне «Сертификат» обычные способы копирования не работают. Для копирования применяйте горячие клавиши клавиатуры (Ctrl+C – копировать, Ctrl+V – вставить).

Рис. 4 Состав сертификата

3) В окне Internet Explorer, в адресную строку вставляется ранее скопированная ссылка (Рис. 5).

Рис. 5 Адресная строка интернет-обозревателя

4) После перехода по ссылке браузер предложит три варианта действия для данного объекта. Необходимо выбрать пункт «Сохранить» (Рис. 6).

Рис. 6 Окно загрузки

5) После загрузки нажмите на «Открыть папку». Откроется окно Windows, где загруженный файл будет подсвечен синим цветом.

6) Для установки списка отозванных сертификатов на ранее загруженном файле необходимо нажать правой кнопкой мыши и выбрать строку «Установить список отзыва (CRL)» (Рис. 7, №2).
При установке корневого сертификата выбираем строку «Установить сертификат».

Рис. 7 Установка списка отзыва

7) В появившемся окне нажмите копку «Далее».

8) Из предложенных вариантов выберите «Поместить все сертификаты в следующее хранилище», и нажмите «Обзор» (Рис. 8).

Рис. 8 Выбор места установки сертификата

9) В новом появившемся окне поставьте галочку напротив надписи «Показать физические хранилища» (Рис. 9, №1). Откройте раздел «Доверенные корневые центры сертификации» (Рис. 9, №2).

Рис. 9 Выбор хранилища сертификата

Если в составе раздела есть «Локальный компьютер» выберите его и нажмите «ОК». В противном случае выберите весь раздел.

10) Нажмите кнопку «Далее», а затем «Готово».

11) Дождитесь информационного сообщения «Импорт успешно выполнен».

Повторите аналогичную процедуру с пункта 2.4 для установки Корневого сертификата удостоверяющего центра. На данном этапе вместо «Точек распространения..» выберите «Доступ к информации о центрах…».

Отзыв сертификата

Итак опишу действия необходимые для отзыва сертификата.

1. Заходим в консоль ЦС. Открываем раздел «Выданные сертификаты».

2. Вызываем контекстное меню на необходимом нам сертификате, выбираем пункт «Все задачи» -> «Отзыв сертификата».

3. Проверяем, что сертификат отозван. На рисунке будет также видно, что серийный номер совпадает с тем, что был изначально указан в задаче.

На этом операции по отзыву сертификата окончены. Сейчас переходим к следующему пункту

Процесс построения удостоверяющего центра представляется в виде последовательности следующих этапов:

  1. Проведение обследования информационной инфраструктуры организации и определение базовой программно-аппаратной платформы для построения информационной системы удостоверяющего центра;
  2. При необходимости, подбор и/или подготовка персонала соответствующего требованиям, предъявляемым к удостоверяющим центрам;
  3. Подготовка комплекта документов, необходимых для лицензирования;
  4. Развертывание информационной системы удостоверяющего центра:
    • монтаж и установка программно-аппаратных средств;
    • выпуск и установка сертификата ключа подписи уполномоченного лица удостоверяющего центра;
    • определение регламента получения списка отозванных сертификатов (CRL) вышестоящего удостоверяющего центра, выпуска CRL проектируемого удостоверяющего центра;
  5. Опытная эксплуатация удостоверяющего центра и подготовка организационно-методических документов (Регламент, инструкции и др.);
  6. Промышленная эксплуатация и сопровождение удостоверяющего центра.

Спецификация технического решения с использованием надстройки для Windows 2003 Server

Надстройка для Windows 2003 Server
Производитель:Корпорация Майкрософт,
ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР»
Платформы:Windows2003Server
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:Дополнительно к Windows 2003 Центр Регистрации — надстройка над Microsoft 2003 Server Удостоверяющий Центр v.1.1. Позволяет формировать сертификаты открытых ключей пользователей и администраторов, аудиторов и операторов, списки отозванных сертификатов, хранить эталонную базу сертификатов и списков отозванных сертификатов, регистрационные данные пользователей, запросы на сертификаты и сертификаты пользователей и событий Удостоверяющего Центра.
Иерархия:Глубина иерархии соответствует глубине иерархии службы сертификации Windows 2003 Server.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Поддерживается регистрация пользователя, генерация запроса на сертификат и выдача сертификата при помощи web-интерфейса в распределенном режиме.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через web-интерфейс.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений. Поддерживается Active directory.
Поддержка OCSP:OCSP поддерживается, как дополнительный сервис
Хранение сертификатов:Любая поддерживающая ODBC база данных, например, My Sql, база данных службы сертификации Windows.
Резервное хранение сертификатов:Стандартными средствами Windows.
Управление:Управление и мониторинг сервера осуществляется из стандартной консоли управления, расширенной необходимыми вставками (Snap-in), а так же через web-интерфейс.
Средства разработки:Поддержка в SDK и DDK, Visual.NET.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:180 000 рублей без ограничений использования
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость – 271 489 рублей (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 1)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость – 886 489 рублей

Спецификация технического решения с использованием «КРИПТОПРО УЦ»

Программный комплекс «КриптоПро УЦ»
Производитель:Корпорация Майкрософт, ООО «Крипто-Про»
Платформы:Windows2000Server, Windows2000AdvancedServer
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:Stand-alone Root CA — центр сертификации автономной организации.
Stand-alone Subordinate CA — модуль выдачи сертификатов вне структуры домена Windows 2000.
Иерархия:Глубина иерархии в пределах цепочки подчиненных друг другу ЦС не ограничена.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Уровень предприятия — выпуск осуществляется автоматически. Необходимое условие — настройка схемы и политик домена. Механизмы — RPC, DCOM. Возможно использование АРМ администратора.
Уровень автономной организации — web-интерфейс, e-mail, RPC и DCOM.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через административную консоль.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений. Active directory не поддерживается по соображениям безопасности.
Поддержка OCSP:Не поддерживает OCSP
Хранение сертификатов:MS SQL Server, база данных службы сертификации Windows
Резервное хранение сертификатов:Средствами стандартного SQL Server Backup, стандартными средствами Windows.
Управление:Управление и мониторинг сервера осуществляется из стандартной консоли управления, расширенной необходимыми вставками (Snap-in), а так же средствами консоли Администратора.
Средства разработки:Поддержка в SDK и DDK, Visual.NET.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:
Количество зарегистрированных пользователей на Центре сертификации «КриптоПро «УЦ»Стоимость ПАК «КриптоПро «УЦ» в стандартной конфигурацииСтоимость ПАК «КриптоПро «УЦ» в расширенной конфигурации
10060 000р.150 000р.
20090 000р.180 000р.
500120 000р.210 000р.
1000150 000р.240 000р.
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость — 376 084 рубля (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 2)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость — от 911 084 рубля

Спецификация технического решения с использованием RSA Certificate Authority

RSA Certificate Authority
Производитель:RSA Security
Платформы:Windows2000Server
Поддержка ГОСТ-совместимого криптопровайдера:Поддерживается (КриптоПро CSP)
Модульность:RSA Keon CA — центр сертификации, совмещающий выпуск, отзыв, поддержку базы выданных сертификатов и генерацию CRL.
Certificate Manager способен напрямую обрабатывать клиентские запросы и/или принимать их от RSA Keon RA.
RSA Keon RA — компонент структуры RSA Keon, проверяющий подлинность пользователя и обеспечивающий выпуск сертификатов.
RSA Keon Security Server — осуществляет аутентификацию и авторизацию пользователя, проверку действительности сертификата, хранение мандатов и профилей пользователя.
RSA Keon Agents — модули обеспечивающие single sign-on в инфраструктуре RSA Keon, шифрование сеанса, аутентификацию и аудит событий.
Иерархия:Глубина иерархии не ограничена.
Кросс-сертификация:Возможна кросс-сертификация между центрами сертификации.
Выпуск сертификатов:Поддерживает только один вид запроса выдачи сертификатов — удаленный, при помощи web-интерфейса.
Отзыв сертификатов:Отзыв сертификатов осуществляет администратор через web-интерфейс.
Списки отзыва сертификатов:Публикация списков отзыва сертификатов осуществляется через промежутки времени, задаваемые при конфигурации сервера сертификатов. Точки распространения списков отозванных сертификатов доступны по web (http), FTP, LDAP или в файловой системе.
Политики:Набор предустановленных политик и расширений.
Поддержка OCSP:Поддерживается OCSP.
Хранение сертификатов:Любая служба каталогов, совместимая со спецификацией LDAP.
Резервное хранение сертификатов:Стандартными средствами Windows.
Управление:Через web-интерфейс.
Средства разработки:Прилагается PKI API — RSA Keon OneStep, предоставляющий доступ ко всем основным функциям СА.
Уровень законченности решения для организации удостоверяющего центра:Законченное решение
Стоимость программного обеспечения комплекса:$26050 за 1000 сертификатов
Стоимость аппаратного обеспечения удостоверяющего центраориентировочная стоимость — 269 372 рубля (перечень и стоимость аппаратного обеспечения удостоверяющего центра приведен в Приложении 3)
Стоимость разработки организационно-методических документов и запуск в эксплуатацию удостоверяющего центраот 400 000 рублей
Обучение специалистов заказчика15 000 рублей
Стоимость годового сопровождения (консультации, решение сбойных ситуаций и т.д.)10% от стоимости работ
Итого стоимость затрат на программное, аппаратное и информационное обеспечение удостоверяющего центраориентировочная стоимость — от 1 439 822 рубля

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Наименование программных и аппаратных средствКоличество (шт)Стоимость (руб.)
Сервер Центра Сертификации (Win/Intel)170 000
АРМ администратора120 000
АРМ делопроизводителя120 000
Источник бесперебойного питания UPS класса On-Line (для ЦС, ЦР)118 500
Источник бесперебойного питания UPS класса Line-Interactive для АРМ26 000
3C16792 OfficeConnect Switch 1612 800
Monitor/Keyboard/Mouse/Switch118 000
USB-ключевые носители + USB-удлинители23 000
Шкаф серверный в комплекте145 000
Принтер15 000
Базовая ОС для ЦР и ЦС Windows 2003 Server OEM120 329
Монтаж на месте заказчика142 860
Итого стоимость аппаратуры и ОС271 489

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Наименование программных и аппаратных средствКоличество (шт)Стоимость (руб.)
Сервер Центра Сертификации (Win/Intel)170 000
Сервер Центра Регистрации (Win/Intel)170 000
АРМ администратора120 000
АРМ делопроизводителя120 000
Источник бесперебойного питания UPS класса On-Line (для ЦС, ЦР)237 000
Источник бесперебойного питания UPS класса Line-Interactive для АРМ26 000
3C16792 OfficeConnect Switch 1612 800
Monitor/Keyboard/Mouse/Switch118 000
USB-ключевые носители + USB-удлинители23 000
Шкаф серверный в комплекте145 000
Принтер15 000
Базовая ОС для ЦС Windows 2000 Server SP4 OEM236 424
Монтаж на месте заказчика142 860
Итого стоимость аппаратуры и ОС376 084

Перечень и ориентировочная стоимость аппаратного обеспечения Удостоверяющего Центра

Для установки данных сертификатов, необходимо в обозревателе Internet Explorer перейти в «Свойства браузера» («Свойства обозревателя»). Данный пункт находится во вкладке «Сервис» (либо изображение шестеренки в новых версиях обозревателя – ) (Рис. 1).

Также можно открыть «Свойства браузера» («Свойства обозревателя») через «Панель управления» (с отображением мелких значков) Вашей операционной системы.

Рис. 1 Расположение раздела «Сервис» — «Свойства браузера» в Internet Explorer.

Далее выберите вкладку «Содержание» и нажмите на кнопку «Сертификаты» (Рис. 2).

Рис. 2 «Содержание» — «Сертификаты»

1) В открывшемся окне следует выбрать используемый сертификат и дважды нажать на него (Рис. 3).

Рис. 3 Список сертификатов, установленных на компьютере

2) Далее в новом окне перейти на вкладку «Состав» (Рис. 4, №1). Для установки списка отозванных сертификатов найти строку «Точки распространения сп…» (Рис. 4, №2).

В информационном окне, расположенном ниже, в графе «Полное имя» скопировать при помощи клавиатуры (горячих клавиш Ctrl+C) ссылку (начиная с букв “http” до конца строки) (Рис. 4, №3).

При работе в окне «Сертификат» обычные способы копирования не работают. Для копирования применяйте горячие клавиши клавиатуры (Ctrl+C – копировать, Ctrl+V – вставить).

Рис. 4 Состав сертификата

3) В окне Internet Explorer, в адресную строку вставляется ранее скопированная ссылка (Рис. 5).

Рис. 5 Адресная строка интернет-обозревателя

4) После перехода по ссылке браузер предложит три варианта действия для данного объекта. Необходимо выбрать пункт «Сохранить» (Рис. 6).

Рис. 6 Окно загрузки

5) После загрузки нажмите на «Открыть папку». Откроется окно Windows, где загруженный файл будет подсвечен синим цветом.

6) Для установки списка отозванных сертификатов на ранее загруженном файле необходимо нажать правой кнопкой мыши и выбрать строку «Установить список отзыва (CRL)» (Рис. 7, №2).
При установке корневого сертификата выбираем строку «Установить сертификат».

Рис. 7 Установка списка отзыва

7) В появившемся окне нажмите копку «Далее».

8) Из предложенных вариантов выберите «Поместить все сертификаты в следующее хранилище», и нажмите «Обзор» (Рис. 8).

Рис. 8 Выбор места установки сертификата

9) В новом появившемся окне поставьте галочку напротив надписи «Показать физические хранилища» (Рис. 9, №1). Откройте раздел «Доверенные корневые центры сертификации» (Рис. 9, №2).

Рис. 9 Выбор хранилища сертификата

Если в составе раздела есть «Локальный компьютер» выберите его и нажмите «ОК». В противном случае выберите весь раздел.

10) Нажмите кнопку «Далее», а затем «Готово».

11) Дождитесь информационного сообщения «Импорт успешно выполнен».

Повторите аналогичную процедуру с пункта 2.4 для установки Корневого сертификата удостоверяющего центра. На данном этапе вместо «Точек распространения..» выберите «Доступ к информации о центрах…».

Читать еще:  Ошибка 0х80070057 при установке Windows 7
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector