Область применения

Программное средство «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition» RU.АЛДЕ.03.01.020 (далее по тексту – программное средство или Центр сертификатов доступа) применяется как элемент систем защиты информации автоматизированных (информационных) систем и используется совместно с другими средствами защиты информации при идентификации и строгой аутентификации субъектов[1] и объектов доступа[2] в автоматизированной (информационной) системе.

[1] Субъектами доступа могут являться как физические лица (пользователи), так и ресурсы автоматизированной информационной системы, а также вычислительные процессы, инициирующие получение и получающие доступ от имени пользователей, программ, средств вычислительной техники и других программно-аппаратных устройств информационно-телекоммуникационной инфраструктуры.

[2] Объект доступа представляет собой одну из сторон информационного взаимодействия, предоставляющую доступ. 

Состав

Центр сертификатов доступа включает:

  • Программный комплекс «Центр сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.038 (далее по тексту – программа или Центр сертификации Aladdin eCA), состоящий из следующих программных компонентов:
    • Программный компонент «Серверная часть Центра сертификации» RU.АЛДЕ.03.01.040.

Программный компонент реализует функции программного средства, для выполнения которых оно предназначено в заданных условиях применения, в части формирования идентификационной информации, необходимой для выпуска сертификатов безопасности цифровых сертификатов) (далее – сертификаты), выпуска и обслуживания сертификатов, приостановки и/или возобновления действия сертификатов, предоставления информации о сертификатах и их статусах.

    • Программный компонент «Клиентская часть Центра сертификации» RU.АЛДЕ.03.01.041.

Программный компонент реализует интерфейс (веб‑интерфейс), с помощь которого обеспечивается взаимодействие пользователя и программного компонента «Серверная часть Центра сертификации» RU.АЛДЕ.03.01.040.

  • Программный комплекс «Центр валидации Aladdin Enterprise Validation Authority» RU.АЛДЕ.03.01.039 (далее по тексту – Центр валидацииAladdin eVA), состоящий из следующих программных компонентов:
    • Программный компонент «Серверная часть Центра валидации» RU.АЛДЕ.03.01.04

Программный компонент реализует функции программного средства, для выполнения которых оно предназначено в заданных условиях применения, в части предоставления информации о сертификатах и их статусах.

    • Программный компонент «Клиентская часть Центра валидации» RU.АЛДЕ.03.01.04

Программный компонент реализует интерфейс (веб‑интерфейс), с помощь которого обеспечивается взаимодействие пользователя и программного компонента «Серверная часть Центра валидации» RU.АЛДЕ.03.01.042.

  • Программный комплекс «Центр регистрации Aladdin Enterprise Registration Authority» RU.АЛДЕ.03.01.051 (далее по тексту – Центр регистрации Aladdin eRA), состоящий из следующих программных компонентов:
    • Программный компонент «Серверная часть Центра регистрации» RU.АЛДЕ.03.01.052.

Программный компонент реализует функции программного средства, для выполнения которых оно предназначено в заданных условиях применения, в части формирования идентификационной информации, необходимой для выпуска сертификатов, выпуска и обслуживания сертификатов.

    • Программный компонент «Клиентская часть Центра регистрации» RU.АЛДЕ.03.01.053.

Программный компонент реализует интерфейс (веб‑интерфейс), с помощь которого обеспечивается взаимодействие пользователя и программного компонента «Серверная часть Центра регистрации» RU.АЛДЕ.03.01.052.

  • Программное средство «Утилита контроля целостности 2.0» RU.АЛДЕ.02.13.002‑09.

Программное средство предназначена для контроля целостности исполняемых файлов и дистрибутивов программных комплексов из состава Центра сертификатов доступа.

  • Средство криптографической защиты информации «КриптоПро CSP» версии 5.0 R3 KC1 (исполнение 1‑Base) ЖТЯИ.00101‑03 или версии 5.0 R3 KC2 (исполнение 2‑Base) ЖТЯИ.00102‑03 [1].

Средство криптографической защиты информации (далее – СКЗИ) предназначено для создания, хранения и удаления ключевых пар (открытый и закрытый ключи) центров сертификации инфраструктуры открытых ключей, создания ключевых пар (открытый и закрытый ключи) пользователей и средств вычислительной техники (устройств), генерации и проверки цифровой подписи, а также для идентификации, аутентификации, шифрования и имитозащиты TLS‑соединений.

  • Программно‑аппаратный криптографический модуль «КриптоПро HSM» версии 2.0 R3 ЖТЯИ.00096‑01 (исполнение 1К, комплектация 1 или 2)[2].

Программно‑аппаратный криптографический модуль (далее – ПАКМ) предназначен для создания, хранения и удаления ключевых пар (открытый и закрытый ключи) центров сертификации инфраструктуры открытых ключей, создания ключевых пар (открытый и закрытый ключи) пользователей и средств вычислительной техники (устройств), а также генерации и проверки цифровой подписи.

[1] СКЗИ «КриптоПро CSP» не является обязательным программным средством, не входит в комплект поставки Центра сертификатов доступа и, при необходимости, приобретается заказчиком самостоятельно. Порядок настройки взаимодействия Центра сертификации Aladdin eCA с СКЗИ «КриптоПро CSP» описан в Приложении 5. Порядок настройки взаимодействия Центра регистрации Aladdin eRA с СКЗИ «КриптоПро CSP» описан в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 5. Центр регистрации Aladdin Enterprise Registration Authority». Порядок настройки взаимодействия Центра валидации Aladdin eVA с СКЗИ «КриптоПро CSP» описан в документе «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть 4. Центр валидации Aladdin Enterprise Validation Authority».

[2] ПАКМ «КриптоПро HSM» не является обязательным программным средством, не входит в комплект поставки Центра сертификатов доступа и, при необходимости, приобретается заказчиком самостоятельно.

Основные функции

Центр сертификатов доступа реализует следующие функции:

  • Формирование идентификационной информации, необходимой для выпуска сертификатов безопасности (цифровых сертификатов) пользователей и средств вычислительной техники (устройств) (далее по тексту – СВТ) на основе данных, полученных при первичной идентификации непосредственно от пользователей и СВТ через заявку на выпуск сертификатов, либо полученных от доменной службы каталогов или уполномоченных пользователей. Первичная идентификация пользователей и СВТ в программном средстве завершается созданием для них субъектов. Идентификационная информация, необходимая для выпуска сертификатов, представляет собой атрибуты субъекта, значения которых записываются в поля сертификатов, создаваемых для данного субъекта.
  • Выпуск и обслуживание сертификатов безопасности (цифровых сертификатов) пользователей и средств вычислительной техники (устройств), в том числе:
    • Создание ключевых пар (открытый и закрытый ключи) пользователей и СВТ.

Создание ключевых пар для пользователей и средств вычислительной техники (устройств) выполняется при формировании для них сертификатов с закрытым ключом (PKCS#12) [1].

    • Формирование сертификатов для пользователей и СВТ.

В программном средстве реализовано формирование сертификатов для пользователей и СВТ:

        • С закрытым ключом (PKCS#12).
        • На основании запроса PKCS#10 [1].
    • Формирование заявок на выпуск сертификатов для пользователей и СВТ.

В программном средстве реализовано:

        • Создание заявок пользователями с ролями «Администратор» и «Оператор» через программный компонент «Клиентская часть Центра регистрации» и программный интерфейс программного компонента «Серверная часть Центра регистрации»
        • Создание заявок пользователем с ролью «Получатель сертификата» через программный компонент «Клиентская часть Центра регистрации» и программный интерфейс программного компонента «Серверная часть Центра регистрации», включая заявки, создаваемые через программный интерфейс по протоколу WS‑Trust X.509v3 Token Enrollment Extensions (WSTEP)[1].
        • Создание заявок через программный интерфейс программного компонента «Серверная часть Центра регистрации» по протоколу Simple Certificate Enrollment Protocol (SCEP) [2].
        • Автоматическое создание заявок на основании запросов PKCS#10 из локального или сетевого каталога в соответствии с настройками Offline‑выпуска.
    • Выдача сертификатов для их использования владельцами.

Выдача сертификатов для их использования владельцами доступна:

        • Путем их экспорта за пределы программного средства пользователями с ролями «Администратор» или «Оператор».
        • Путем их экспорта за пределы программного средства инициатором заявки на выпуск сертификата, если по данной заявке успешно выпущен сертификат.
        • Путем их автоматического экспорта за пределы программного средства в локальный или сетевой каталог в соответствии с настройками Offline‑выпуска.
    • Централизованное автоматическое (автоматизированное) отслеживание актуальности (с уведомлением владельцев о сроках действия) сертификатов.

Уведомление владельцев о сроках действия их сертификатов выполняется по электронной почте. По умолчанию программное средство уведомляет владельца сертификата в случае, если срок его действия истекает через 30 суток, через 7 суток или через 1 сутки. В программном средстве доступно формирование шаблонов рассылок уведомлений владельцев о сроках действия их сертификатов. Для каждого шаблона рассылки доступно указание времени, отслеживаемого до окончания действия сертификата, а также текста отправляемого уведомления.

  • Выпуск и обслуживание сертификатов центров сертификации инфраструктуры открытых ключей, в том числе:
    • Создание, экспорт, импорт и удаление ключевой пары (открытый и закрытый ключи) центра сертификации (корневого и/или подчиненного).

Создание ключевой пары центра сертификации (корневого и/или подчиненного) выполняется при создании собственного центра сертификации в программном средстве. В программном средстве доступно создание центра сертификации (корневого и/или подчиненного) на основании импортированного контейнера закрытого ключа PKCS #12 центра сертификации, содержащего его ключевую пару. Для центра сертификации доступен экспорт ключевой пары за пределы программного средства, если его ключевая пара уже не экспортирована за пределы программного средства, и для данной ключевой пары при ее создании не был установлен запрет на экспорт. При экспорте ключевая пара центра сертификации удаляется из программного средства. Для центра сертификации, ключевая пара которого экспортирована за пределы программного средства, доступна возможность импорта его ключевой пары в программное средство. Удаление ключевой пары центра сертификации выполняется при удалении данного центра сертификации из программного средства, если его ключевая пара уже не экспортирована за пределы программного средства.

    • Создание, импорт, просмотр, экспорт и удаление корневого (самоподписанного) сертификата центра сертификации.

Создание корневого (самоподписанного) сертификата центра сертификации выполняется при создании в программном средстве собственного корневого центра сертификации. Импорт корневого (самоподписанного) сертификата центра сертификации выполняется при создании в программном средстве корневого центра сертификации на основании импортированного контейнера закрытого ключа PKCS #12 корневого центра сертификации. В программном средстве доступен просмотр значений полей корневого (самоподписанного) сертификата центра сертификации. Для каждого корневого центра сертификации доступен импорт его самоподписанного сертификата. Удаление корневого (самоподписанного) сертификата центра сертификации выполняется при удалении данного корневого центра сертификации.

    • Создание, просмотр, экспорт и удаление запроса на сертификат центра сертификации в вышестоящий центр сертификации.

Создание запроса на сертификат центра сертификации в вышестоящий центр сертификации выполняется при создании в программном средстве подчиненного центра сертификации. Запрос на сертификат центра сертификации в вышестоящий центр сертификации доступен для просмотра средствами из состава операционной системы (среды функционирования) (далее – ОС). Запрос на сертификат центра сертификации в вышестоящий центр сертификации доступен для экспорта за пределы программного средства. Удаление запроса на сертификат центра сертификации в вышестоящий центр сертификации выполняется при удалении в программном средстве данного подчиненного центра сертификации.

    • Создание на основании запроса, импорт, просмотр, экспорт, удаление и отзыв сертификата для подчиненного центра сертификации.

Создание сертификата для подчиненного центра сертификации на основании запроса выполняется в вышестоящем центре сертификации при подписании запроса на сертификат данного подчиненного центра сертификации. Импорт сертификата для подчиненного центра сертификации выполняется при создании в программном средстве подчиненного центра сертификации на основании импортированного контейнера закрытого ключа PKCS #12 подчиненного центра сертификации. В программном средстве доступен просмотр значений полей созданного сертификата для подчиненного центра сертификации. Сертификат для подчиненного центра сертификации доступен для экспорта за пределы программного средства как отдельно, так и в составе его цепочки сертификатов. Удаление сертификата подчиненного центра сертификации выполняется при удалении данного центра сертификации из программного средства. В вышестоящем центре сертификации, подписавшем запрос на сертификат подчиненного центра сертификации, доступен отзыв сертификата данного подчиненного центра сертификации.

  • Приостановка и/или возобновление действия пользователей и СВТ, в том числе:
    • Блокирование, возобновление действия, отзыв и перевыпуск сертификатов.

Блокирование, возобновление действия и отзыв сертификатов выполняется путем формирования списка (основного и разностного) отозванных сертификатов. В данный список программным средством заносятся заблокированные и отозванные сертификаты. Операция блокирования сертификата обратима путем возобновления действия данного сертификата. Операция отзыва сертификата необратима. В программном средстве доступен повторный выпуск сертификатов пользователей и СВТ на основании ранее использованной идентификационной информации.

    • Формирование, экспорт и публикация списка отозванных сертификатов.

Формирование списка отозванных сертификатов выполняется автоматически с задаваемой пользователем с ролью «Администратор» периодичностью и/или при любом изменении статуса сертификата. В программном средстве доступен экспорт списка отозванных сертификатов. При каждом формировании списка отозванных сертификатов безопасности выполняется его публикация в зарегистрированные точки распространения. В программном средстве доступна публикация списка отозванных сертификатов и сертификатов центров сертификации в точки распространения центров валидации, создаваемых в Центре валидации Aladdin eVA, и точки распространения доменной службы каталогов.

  • Предоставление информации о сертификатах центров сертификации, пользователей и СВТ, а также информации об их статусах, в том числе:
    • Формирование и экспорт реестра сертификатов.

В программном средстве реализовано формирование реестра сертификатов, содержащего значения полей всех созданных сертификатов. При экспорте реестра сертификатов доступен выбор критериев, которым должны соответствовать сертификаты в экспортируемом реестре.

    • Проверка статусов сертификатов на основании данных, опубликованных в точке распространения.

Программное средство позволяет экспортировать опубликованные списки отозванных сертификатов и сертификаты центров сертификации из точек распространения, реализованных программным средством.

    • Проверка статусов сертификатов в режиме реального времени.

Программное средство позволяет выполнять проверку статусов сертификатов в режиме реального времени по протоколу Online Certificate Status Protocol (OCSP) [3].

Центр сертификатов доступа выпускает сертификаты в следующих форматах:

  • Формат сертификата открытого ключа X.509v3 [4].

Сертификат включает в себя следующие данные:

    • Версия сертификата.
    • Серийный номер сертификата.
    • Идентификатор алгоритма подписи сертификата.
    • Отличительное имя издателя сертификата.
    • Период действия сертификата.
    • Отличительное имя субъекта.
    • Информация об открытом ключе, включающая алгоритм открытого ключа и сам открытый ключ.
    • Расширения сертификата, включая следующие возможные поля:
        • Идентификатор ключа издателя сертификата.
        • Идентификатор ключа субъекта.
        • Идентификаторы использования ключа.
        • Политики сертификата.
        • Альтернативное имя субъекта.
        • Альтернативное имя издателя сертификата.
        • Базовые ограничения.
        • Точки распространения списков отзыва.
        • Доступ к информации о центрах сертификации.
        • Идентификаторы расширенного использования ключа.
    • Подпись сертификата.
  • Формат списка отозванных сертификатов безопасности (CRL) [5].

Список отозванных сертификатов включает в себя следующие данные:

    • Версия
    • Отличительное имя издателя CRL.
    • Дата и время издания текущего CRL.
    • Дата и время издания следующего CRL.
    • Расширения CRL, включая следующие возможные поля:
        • Идентификатор ключа издателя CRL.
        • Номер CRL.
    • Перечень отозванных сертификатов, где для каждого сертификата указаны:
        • Серийный номер.
        • Дата и время отзыва.
        • Причина отзыва (может отсутствовать).
    • Алгоритм подписи CRL.
    • Подпись CRL.
  • Формат контейнера закрытого ключа PKCS #12 [6].

Контейнеры закрытого ключа включают в себя следующие данные:

    • Цепочка сертификатов владельца закрытого ключа.
    • Закрытый ключ.

Центр сертификатов доступа реализовывает следующие криптографические алгоритмы:

  • Алгоритмы генерации ключевой пары:
    • RSA с длинами ключей 1024, 1536, 2048, 3072, 4096, 6144 и 8192 бит.
    • ECDSA c длинами ключей 256, 384 и 521 бит.
    • ГОСТ Р 34.10‑2012 с ключом 256 или 512 бит [7].
  • Алгоритмы генерации цифровой подписи:
    • RSA PKCS#1 Ver 1.5 (длины ключей: 1024, 1536, 2048, 3072, 4096, 6144 и 8192 бит; хэш‑алгоритмы: SHA256, SHA384, SHA512).
    • ECDSA (длины ключей: 256, 384, 521 бит; хэш‑алгоритмы: SHA256, SHA384, SHA512).
    • ГОСТ Р 34.10‑2012 с ключом 256 или 512 бит (хэш‑алгоритм: ГОСТ Р 34.11‑2012 с длиной хэш‑кода 256 или 512 бит)[8].

[1] В соответствии с документом «OASIS WS-Trust 1.3. WS-Trust X.509 Token Profile (WSTEP)».

[2] В соответствии с документом «RFC 8894. Simple Certificate Enrolment Protocol».

[3] В соответствии с документом «RFC 6960. X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP».

[4] Формат определяется документом «ITU-T Recommendation X.509 (10/2019). Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks».

[5] Формат определяется документом «ITU-T Recommendation X.509 (10/2019). Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks».

[6] Формат определяется документом «RFC 7292. PKCS #12: Personal Information Exchange Syntax v1.1»

[7] Данный алгоритм доступен при использовании СКЗИ «КриптоПро CSP» в составе Центра сертификации Aladdin eCA.

[8] Данный алгоритм доступен при использовании СКЗИ «КриптоПро CSP» в составе Центра сертификации Aladdin eCA.

Комплект поставки

Программное средство «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition» RU.АЛДЕ.03.01.020 поставляется в следующей комплектации:

  • Программный комплекс «Центр сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.038 на носителе оптической записи (rpm‑пакет и deb‑пакет).
  • Программный комплекс «Центр валидации Aladdin Enterprise Validation Authority» RU.АЛДЕ.03.01.039 на носителе оптической записи (rpm‑пакет и deb‑пакет).
  • Программный комплекс «Центр регистрации Aladdin Enterprise Registration Authority» RU.АЛДЕ.03.01.051 на носителе оптической записи (rpm‑пакет и deb‑пакет).
  • Контрольная сумма (далее – КС) установочного rpm‑пакета (дистрибутива) программного комплекса «Центр сертификации Aladdin Enterprise Certification Authority» на носителе оптической записи.
  • КС установочного deb‑пакета (дистрибутива) программного комплекса «Центр сертификации Aladdin Enterprise Certification Authority» на носителе оптической записи.
  • КС исполняемых файлов программного комплекса «Центр сертификации Aladdin Enterprise Certification Authority» на носителе оптической записи.
  • КС установочного rpm‑пакета (дистрибутива) программного комплекса «Центр валидации Aladdin Enterprise Validation Authority» на носителе оптической записи.
  • КС установочного deb‑пакета (дистрибутива) программного комплекса «Центр валидации Aladdin Enterprise Validation Authority» на носителе оптической записи.
  • КС исполняемых файлов программного комплекса «Центр валидации Aladdin Enterprise Validation Authority» на носителе оптической записи.
  • КС установочного rpm‑пакета (дистрибутива) программного комплекса «Центр регистрации Aladdin Enterprise Registration Authority» на носителе оптической записи.
  • КС установочного deb‑пакета (дистрибутива) программного комплекса «Центр регистрации Aladdin Enterprise Registration Authority» на носителе оптической записи.
  • КС исполняемых файлов программного комплекса «Центр регистрации Aladdin Enterprise Registration Authority» на носителе оптической записи.
  • Программное средство «Утилита контроля целостности 2.0»АЛДЕ.02.13.002‑09;
  • КС исполняемого файла программного средства «Утилита контроля целостности 2.0»;
  • Эксплуатационная документация в составе:
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Формуляр. Часть 1. Общие сведения»АЛДЕ.03.01.020 30 01‑1.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Формуляр. Часть 2. Свидетельства о приёмке, упаковке и маркировке» АЛДЕ.03.01.020 30 01‑2.
    • «Центр сертификатов доступа Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Описание применения» RU.АЛДЕ.03.01.020 31 01.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑1.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть Функции управления Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑2.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть Описание REST API Центра сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.020 32 01‑3.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть Центр валидации Aladdin Enterprise Validation Authority» RU.АЛДЕ.03.01.020 32 01‑4.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть Центр регистрации Aladdin Enterprise Registration Authority» RU.АЛДЕ.03.01.020 32 01‑5.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора. Часть Описание методов REST API Центра регистрации Aladdin Enterprise Registration Authority» RU.АЛДЕ.03.01.020 32 01‑6.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство администратора безопасности» RU.АЛДЕ.03.01.020 32 02.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство оператора» RU.АЛДЕ.03.01.020 34 01.
    • «Центр сертификатов доступа Aladdin Enterprise Certificate Authority Certified Edition. Руководство получателя сертификатов» RU.АЛДЕ.03.01.020 34 02.
  • Потребительская упаковка.

Имя пакета компонентов поставки

Имя пакета компонентов поставки представлено в формате:

·         <name>

– название компонента;

·         <major_version>

– мажорная версия компонента;

·         <minor_version>

– минорная версия компонента;

·         <release>

– номер релиза компонента;

·         <build_number>

– номер сборки;

·         <arch>

– целевая архитектура.

Роли управления

В Центра сертификации Aladdin eCA определены следующие роли пользователей:

  • Оператор

Пользователь с ролью «Оператор» должен обладать правами на работу с субъектами группы, над которой он может осуществлять свои ролевые права, и принадлежащими им сертификатами (выпуск, отзыв, приостановка и возобновление сертификата), иметь полномочия запуска обновления списка субъектов из ресурсной системы. Для конкретного «Оператора» можно определить перечень субъектов, над которыми он может осуществлять свои ролевые права, а также перечень групп субъектов, над элементами которых он может осуществлять свои ролевые права.

  • Администратор

Пользователь с ролью «Администратор» должен иметь неограниченные права доступа к ОС и серверу, на котором развёрнут Центр сертификации Aladdin eCA, а также доступ через веб‑интерфейс или программный интерфейс API к функциональным задачам и к функциям управления учетными записями. Все учётные записи могут быть созданы, отредактированы, удалены или заблокированы только пользователем с ролью «Администратор».

Доступные действия пользователей в соответствии с назначенными ролями приведены в таблице ниже (Таблица 2).

Таблица 2 – Полномочия пользователей в соответствии с назначенной ролью

Тип действия, осуществляемого пользователем, над объектом программы

Возможные роли пользователей

Оператор

Администратор

Установка или обновление программы

+

Установка лицензии на программу

+

Внесение изменений в конфигурационную информацию лицензии на программу

+

Просмотр информации о лицензии на ПО

+

Инициализация центра сертификации

+

Чтение конфигурационной информации о планах архивации в автоматическом режиме из базы данных

+

Внесение изменений в конфигурационную информацию о планах архивации в автоматическом режиме из базы данных

+

Чтение конфигурационной информации о уведомлениях об истечении срока действия сертификата

+

Внесение изменений в конфигурационную информацию о уведомлениях об истечении срока действия сертификата

+

Просмотр журнала событий

+

Архивация журнала событий

+

Экспорт журнала событий

+

Просмотр списка сертификатов центра сертификации (свои и подчинённые)

+

Импорт и экспорт закрытого ключа центра сертификации

+

Удаление сертификата центра сертификации

+

Просмотр цепочки сертификатов центра сертификации

+

Скачивание цепочки сертификатов центра сертификации

+

Скачивание сертификата центра сертификации

+

Скачивание сертификата центра сертификации в контейнере #pkcs12

+

Подписание запроса на сертификат подчинённого центра сертификации

+

Импортирование сертификата центра сертификации (активация центра сертификации)

+

Создание сертификатов доступа для полного набора субъектов ресурсных систем

+

Создание сертификатов доступа для ограниченного набора субъектов ресурсных систем

+

+

Просмотр списка сертификатов доступа для полного набора субъектов ресурсных систем

+

Просмотр списка сертификатов доступа для ограниченного набора субъектов ресурсных систем

+

+

Экспорт списка выпущенных сертификатов для полного набора субъектов ресурсных систем

+

Экспорт списка выпущенных сертификатов для ограниченного набора субъектов ресурсных систем

+

+

Скачивание сертификата доступа для полного набора субъектов ресурсных систем

+

Скачивание сертификата доступа для ограниченного набора доступных субъектов ресурсных систем

+

+

Скачивание сертификата доступа субъекта в контейнере #pkcs12 для полного набора субъектов ресурсных систем

+

Скачивание сертификата доступа субъекта в контейнере #pkcs12 для ограниченного набора субъектов ресурсных систем

+

+

Скачивание цепочки сертификатов для полного набора субъектов ресурсных систем

+

Скачивание цепочки сертификатов для ограниченного набора субъектов ресурсных систем

+

+

Управление статусом сертификата доступа субъекта для полного набора субъектов ресурсных систем

+

Управление статусом сертификата доступа субъекта для ограниченного набора субъектов ресурсных систем

+

+

Создание учётной записи с определением роли для субъектов ресурсных систем

+

Управление учётными записями субъектов ресурсных систем

+

Просмотр учётных записей субъектов ресурсных систем

+

Просмотр ограниченного списка субъектов ресурсных систем

+

+

Просмотр полного списка субъектов ресурсных систем

+

Просмотр списка полного набора зарегистрированных ресурсных систем

+

Просмотр списка ограниченного набора зарегистрированных ресурсных систем

+

+

Регистрация ресурсных систем

+

Обновление полного набора субъектов ресурсных систем

+

Обновление ограниченного набора субъектов ресурсных систем

+

+

Просмотр списка зарегистрированных центров валидации

+

Управление настройкой обновления списков отозванных сертификатов

+

Экспорт списка отозванных сертификатов

+

Моментальная публикация списка отозванных сертификатов

+

Просмотр шаблонов сертификатов

+

Создание нового шаблона сертификата

+

Импорт шаблонов сертификатов

+

Редактирование созданных шаблонов сертификатов

+

Удаление созданных шаблонов сертификатов

+

Просмотр идентификаторов расширенного использования ключа

+

Просмотр ограниченного набора идентификаторов расширенного использования ключа

+

+

Создание пользовательских идентификаторов расширенного использования ключа

+

Удаление пользовательских идентификаторов расширенного использования ключа

+

Просмотр списка разрешённых издателей

+

Управление проверкой издателя

+

Перезагрузка веб-сервера

+

Контроль целостности исполняемых файлов программы

+

Режимы функционирования программы

Основным режимом функционирования Центра сертификации Aladdin eCA является нормальный режим.

В нормальном режиме должны исправно функционировать клиентская и серверная части программы, обеспечивая возможность круглосуточного функционирования, с перерывами на обслуживание (обновление программы).

Функционирование корневого и/или подчинённого Центра сертификации Aladdin eCA предусматривает автономный режим (Stand alone operation) или сетевой режим работы.

Сетевой режим работы Центра сертификации Aladdin eCA обеспечивает возможность кластеризации с целью отказоустойчивости[1].

[1] Справочная информация по развертыванию кластера Центра сертификации Aladdin eCA приведена в Приложение 4. Развертывание кластера Aladdin eCA» настоящего руководства

Действия по безопасной установке и настройке программы

Установка Центра сертификации Aladdin eCA производится только с диска, получаемого от разработчика, после выполнения действий по приёмке поставленного Центра сертификации Aladdin eCA.

Установка (изменение) программного обеспечения компьютеров и локальной вычислительной сети должна осуществляться только в присутствии и под контролем администратора информационной безопасности того технологического участка, в котором эксплуатируется Центр сертификации Aladdin eCA.

Настройка Центра сертификации Aladdin eCA должна проводится привилегированным пользователем с ролью «Администратор», допускаемым к установке и настройке Центра сертификации Aladdin eCA.

Действия по реализации функций безопасности среды функционирования программы

Для безопасной работы Центра сертификации Aladdin eCA в среде ОС должно обеспечиваться:

  • предотвращение несанкционированного доступа к идентификаторам и паролям привилегированных пользователей (администратора);
  • разделение полномочий (ролей) пользователей;
  • порядок обработки, хранения и передачи аутентификационной информации пользователей, созданной Центром сертификации Aladdin eCA;
  • срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев;
  • синхронизация внутренних системных часов информационной системы для регистрации всех событий безопасности в журнале событий;
  • защита аппаратного обеспечения с функционирующим Центром сертификации Aladdin eCA от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов).