Область применения

Центр сертификатов доступа Aladdin eCA CE применяется как элемент систем защиты автоматизированных (информационных) систем, используется совместно с другими средствами защиты информации и обеспечивает идентификацию и строгую аутентификации при управлении доступом субъектов [1] доступа к объектам [2] доступа в автоматизированной (информационной) системе.

Центр регистрации Aladdin eRA предназначен для формирования и обработки заявок на выпуск сертификатов безопасности (цифровых сертификатов) [3], выпускаемых Центром сертификации Aladdin eCA из состава Центра сертификатов доступа Aladdin eCA CE.

[1] Субъект доступа представляет собой одну из сторон информационного взаимодействия, которая инициирует получение и получает доступ. Субъектами доступа могут являться как физические лица (пользователи), так и средства вычислительной техники (устройства), а также вычислительные процессы, инициирующие получение и получающие доступ от имени пользователей, программ, средств вычислительной техники и других программно-аппаратных устройств информационно-телекоммуникационной инфраструктуры.

[2] Объект доступа представляет собой одну из сторон информационного взаимодействия, предоставляющую доступ. Объектами доступа могут являться как средства вычислительной техники (устройства), так и их вычислительные процессы.

[3] Далее по документу – сертификаты.

Состав

Центр сертификатов доступа включает:

  • Программный комплекс «Центр сертификации Aladdin Enterprise Certification Authority» RU.АЛДЕ.03.01.038, состоящий из следующих программных компонентов:
    • Программный компонент «Серверная часть Центра сертификации» RU.АЛДЕ.03.01.040.

Программный компонент реализует функции программного средства, для выполнения которых оно предназначено в заданных условиях применения, в части формирования идентификационной информации, необходимой для выпуска сертификатов безопасности цифровых сертификатов) (далее – сертификаты), выпуска и обслуживания сертификатов, приостановки и/или возобновления действия сертификатов, предоставления информации о сертификатах и их статусах.

    • Программный компонент «Клиентская часть Центра сертификации» RU.АЛДЕ.03.01.041.

Программный компонент реализует интерфейс (веб‑интерфейс), с помощь которого обеспечивается взаимодействие пользователя и программного компонента «Серверная часть Центра сертификации» RU.АЛДЕ.03.01.040.

  • Программный комплекс «Центр валидации Aladdin Enterprise Validation Authority» RU.АЛДЕ.03.01.039, состоящий из следующих программных компонентов:
    • Программный компонент «Серверная часть Центра валидации» RU.АЛДЕ.03.01.04

Программный компонент реализует функции программного средства, для выполнения которых оно предназначено в заданных условиях применения, в части предоставления информации о сертификатах и их статусах.

    • Программный компонент «Клиентская часть Центра валидации» RU.АЛДЕ.03.01.04

Программный компонент реализует интерфейс (веб‑интерфейс), с помощь которого обеспечивается взаимодействие пользователя и программного компонента «Серверная часть Центра валидации» RU.АЛДЕ.03.01.042.

  • Программный комплекс «Центр регистрации Aladdin Enterprise Registration Authority» RU.АЛДЕ.03.01.051, состоящий из следующих программных компонентов:
    • Программный компонент «Серверная часть Центра регистрации» RU.АЛДЕ.03.01.052.

Программный компонент реализует функции программного средства, для выполнения которых оно предназначено в заданных условиях применения, в части формирования идентификационной информации, необходимой для выпуска сертификатов, выпуска и обслуживания сертификатов.

    • Программный компонент «Клиентская часть Центра регистрации» RU.АЛДЕ.03.01.053.

Программный компонент реализует интерфейс (веб‑интерфейс), с помощь которого обеспечивается взаимодействие пользователя и программного компонента «Серверная часть Центра регистрации» RU.АЛДЕ.03.01.052.

Основные функции

Центр сертификатов доступа реализует следующие функции, для выполнения которых он предназначен в заданных условиях применения:

  • Формирование идентификационной информации, необходимой для выпуска сертификатов безопасности (цифровых сертификатов) пользователей и средств вычислительной техники (устройств) (далее по тексту – СВТ) на основе данных, полученных при первичной идентификации непосредственно от пользователей и СВТ через заявку на выпуск сертификатов, либо полученных от доменной службы каталогов или уполномоченных пользователей. Первичная идентификация пользователей и СВТ в программном средстве завершается созданием для них субъектов. Идентификационная информация, необходимая для выпуска сертификатов, представляет собой атрибуты субъекта, значения которых записываются в поля сертификатов, создаваемых для данного субъекта.
  • Выпуск и обслуживание сертификатов безопасности (цифровых сертификатов) пользователей и средств вычислительной техники (устройств), в том числе:
    • Создание ключевых пар (открытый и закрытый ключи) пользователей и СВТ.

Создание ключевых пар для пользователей и средств вычислительной техники (устройств) выполняется при формировании для них сертификатов с закрытым ключом (PKCS#12) [1].

    • Формирование сертификатов для пользователей и СВТ.

В программном средстве реализовано формирование сертификатов для пользователей и СВТ:

      • С закрытым ключом (PKCS#12).
      • На основании запроса PKCS#10 [2].
    • Формирование заявок на выпуск сертификатов для пользователей и СВТ.

В программном средстве реализовано:

      • Создание заявок пользователями с ролями «Администратор» и «Оператор» через программный компонент «Клиентская часть Центра регистрации» и программный интерфейс программного компонента «Серверная часть Центра регистрации»
      • Создание заявок пользователем с ролью «Получатель сертификата» через программный компонент «Клиентская часть Центра регистрации» и программный интерфейс программного компонента «Серверная часть Центра регистрации», включая заявки, создаваемые через программный интерфейс по протоколу WS‑Trust X.509v3 Token Enrollment Extensions (WSTEP)[3].
      • Создание заявок через программный интерфейс программного компонента «Серверная часть Центра регистрации» по протоколу Simple Certificate Enrollment Protocol (SCEP) [4].
      • Автоматическое создание заявок на основании запросов PKCS#10 из локального или сетевого каталога в соответствии с настройками Offline‑выпуска.
    • Выдача сертификатов для их использования владельцами.

Выдача сертификатов для их использования владельцами доступна:

      • Путем их экспорта за пределы программного средства пользователями с ролями «Администратор» или «Оператор».
      • Путем их экспорта за пределы программного средства инициатором заявки на выпуск сертификата, если по данной заявке успешно выпущен сертификат.
      • Путем их автоматического экспорта за пределы программного средства в локальный или сетевой каталог в соответствии с настройками Offline‑выпуска.
    • Централизованное автоматическое (автоматизированное) отслеживание актуальности (с уведомлением владельцев о сроках действия) сертификатов.

Уведомление владельцев о сроках действия их сертификатов выполняется по электронной почте. По умолчанию программное средство уведомляет владельца сертификата в случае, если срок его действия истекает через 30 суток, через 7 суток или через 1 сутки. В программном средстве доступно формирование шаблонов рассылок уведомлений владельцев о сроках действия их сертификатов. Для каждого шаблона рассылки доступно указание времени, отслеживаемого до окончания действия сертификата, а также текста отправляемого уведомления.

  • Выпуск и обслуживание сертификатов центров сертификации инфраструктуры открытых ключей, в том числе:
    • Создание, экспорт, импорт и удаление ключевой пары (открытый и закрытый ключи) центра сертификации (корневого и/или подчиненного).

Создание ключевой пары центра сертификации (корневого и/или подчиненного) выполняется при создании собственного центра сертификации в программном средстве. В программном средстве доступно создание центра сертификации (корневого и/или подчиненного) на основании импортированного контейнера закрытого ключа PKCS #12 центра сертификации, содержащего его ключевую пару. Для центра сертификации доступен экспорт ключевой пары за пределы программного средства, если его ключевая пара уже не экспортирована за пределы программного средства, и для данной ключевой пары при ее создании не был установлен запрет на экспорт. При экспорте ключевая пара центра сертификации удаляется из программного средства. Для центра сертификации, ключевая пара которого экспортирована за пределы программного средства, доступна возможность импорта его ключевой пары в программное средство. Удаление ключевой пары центра сертификации выполняется при удалении данного центра сертификации из программного средства, если его ключевая пара уже не экспортирована за пределы программного средства.

      • Создание, импорт, просмотр, экспорт и удаление корневого (самоподписанного) сертификата центра сертификации.

Создание корневого (самоподписанного) сертификата центра сертификации выполняется при создании в программном средстве собственного корневого центра сертификации. Импорт корневого (самоподписанного) сертификата центра сертификации выполняется при создании в программном средстве корневого центра сертификации на основании импортированного контейнера закрытого ключа PKCS #12 корневого центра сертификации. В программном средстве доступен просмотр значений полей корневого (самоподписанного) сертификата центра сертификации. Для каждого корневого центра сертификации доступен импорт его самоподписанного сертификата. Удаление корневого (самоподписанного) сертификата центра сертификации выполняется при удалении данного корневого центра сертификации.

    • Создание, просмотр, экспорт и удаление запроса на сертификат центра сертификации в вышестоящий центр сертификации.

Создание запроса на сертификат центра сертификации в вышестоящий центр сертификации выполняется при создании в программном средстве подчиненного центра сертификации. Запрос на сертификат центра сертификации в вышестоящий центр сертификации доступен для просмотра средствами из состава операционной системы (среды функционирования) (далее – ОС). Запрос на сертификат центра сертификации в вышестоящий центр сертификации доступен для экспорта за пределы программного средства. Удаление запроса на сертификат центра сертификации в вышестоящий центр сертификации выполняется при удалении в программном средстве данного подчиненного центра сертификации.

    • Создание на основании запроса, импорт, просмотр, экспорт, удаление и отзыв сертификата для подчиненного центра сертификации.

Создание сертификата для подчиненного центра сертификации на основании запроса выполняется в вышестоящем центре сертификации при подписании запроса на сертификат данного подчиненного центра сертификации. Импорт сертификата для подчиненного центра сертификации выполняется при создании в программном средстве подчиненного центра сертификации на основании импортированного контейнера закрытого ключа PKCS #12 подчиненного центра сертификации. В программном средстве доступен просмотр значений полей созданного сертификата для подчиненного центра сертификации. Сертификат для подчиненного центра сертификации доступен для экспорта за пределы программного средства как отдельно, так и в составе его цепочки сертификатов. Удаление сертификата подчиненного центра сертификации выполняется при удалении данного центра сертификации из программного средства. В вышестоящем центре сертификации, подписавшем запрос на сертификат подчиненного центра сертификации, доступен отзыв сертификата данного подчиненного центра сертификации.

  • Приостановка и/или возобновление действия пользователей и СВТ, в том числе:
    • Блокирование, возобновление действия, отзыв и перевыпуск сертификатов.

Блокирование, возобновление действия и отзыв сертификатов выполняется путем формирования списка (основного и разностного) отозванных сертификатов. В данный список программным средством заносятся заблокированные и отозванные сертификаты. Операция блокирования сертификата обратима путем возобновления действия данного сертификата. Операция отзыва сертификата необратима. В программном средстве доступен повторный выпуск сертификатов пользователей и СВТ на основании ранее использованной идентификационной информации.

    • Формирование, экспорт и публикация списка отозванных сертификатов.

Формирование списка отозванных сертификатов выполняется автоматически с задаваемой пользователем с ролью «Администратор» периодичностью и/или при любом изменении статуса сертификата. В программном средстве доступен экспорт списка отозванных сертификатов. При каждом формировании списка отозванных сертификатов безопасности выполняется его публикация в зарегистрированные точки распространения. В программном средстве доступна публикация списка отозванных сертификатов и сертификатов центров сертификации в точки распространения центров валидации, создаваемых в Центре валидации Aladdin eVA, и точки распространения доменной службы каталогов.

  • Предоставление информации о сертификатах центров сертификации, пользователей и СВТ, а также информации об их статусах, в том числе:
    • Формирование и экспорт реестра сертификатов.

В программном средстве реализовано формирование реестра сертификатов, содержащего значения полей всех созданных сертификатов. При экспорте реестра сертификатов доступен выбор критериев, которым должны соответствовать сертификаты в экспортируемом реестре.

    • Проверка статусов сертификатов на основании данных, опубликованных в точке распространения.

Программное средство позволяет экспортировать опубликованные списки отозванных сертификатов и сертификаты центров сертификации из точек распространения, реализованных программным средством.

    • Проверка статусов сертификатов в режиме реального времени.

Программное средство позволяет выполнять проверку статусов сертификатов в режиме реального времени по протоколу Online Certificate Status Protocol (OCSP) [5].

Центр сертификатов доступа выпускает сертификаты в следующих форматах:

  • Формат сертификата открытого ключа X.509v3 [6].

  Сертификат включает в себя следующие данные:

    • Версия сертификата.
    • Серийный номер сертификата.
    • Идентификатор алгоритма подписи сертификата.
    • Отличительное имя издателя сертификата.
    • Период действия сертификата.
    • Отличительное имя субъекта.
    • Информация об открытом ключе, включающая алгоритм открытого ключа и сам открытый ключ.
    • Расширения сертификата, включая следующие возможные поля:
      • Идентификатор ключа издателя сертификата.
      • Идентификатор ключа субъекта.
      • Идентификаторы использования ключа.
      • Политики сертификата.
      • Альтернативное имя субъекта.
      • Альтернативное имя издателя сертификата.
      • Базовые ограничения.
      • Точки распространения списков отзыва.
      • Доступ к информации о центрах сертификации.
      • Идентификаторы расширенного использования ключа.
    • Подпись сертификата.
  • Формат списка отозванных сертификатов безопасности (CRL) [7].

  Список отозванных сертификатов включает в себя следующие данные:

    • Версия
    • Отличительное имя издателя CRL.
    • Дата и время издания текущего CRL.
    • Дата и время издания следующего CRL.
    • Расширения CRL, включая следующие возможные поля:
      • Идентификатор ключа издателя CRL.
      • Номер CRL.
    • Перечень отозванных сертификатов, где для каждого сертификата указаны:
      • Серийный номер.
      • Дата и время отзыва.
      • Причина отзыва (может отсутствовать).
    • Алгоритм подписи CRL.
    • Подпись CRL.
  • Формат контейнера закрытого ключа PKCS #12 [8].

  Контейнеры закрытого ключа включают в себя следующие данные:

    • Цепочка сертификатов владельца закрытого ключа.
    • Закрытый ключ.

Центр сертификатов доступа реализовывает следующие криптографические алгоритмы:

  • Алгоритмы генерации ключевой пары:
    • RSA с длинами ключей 1024, 1536, 2048, 3072, 4096, 6144 и 8192 бит.
    • ECDSA c длинами ключей 256, 384 и 521 бит.
    • ГОСТ Р 34.10‑2012 с ключом 256 или 512 бит [9].
  • Алгоритмы генерации цифровой подписи:
    • RSA PKCS#1 Ver 1.5 (длины ключей: 1024, 1536, 2048, 3072, 4096, 6144 и 8192 бит; хэш‑алгоритмы: SHA256, SHA384, SHA512).
    • ECDSA (длины ключей: 256, 384, 521 бит; хэш‑алгоритмы: SHA256, SHA384, SHA512).
    • ГОСТ Р 34.10‑2012 с ключом 256 или 512 бит (хэш‑алгоритм: ГОСТ Р 34.11‑2012 с длиной хэш‑кода 256 или 512 бит)[10].

[1] В соответствии с документом «RFC 7292. PKCS #12: Personal Information Exchange Syntax v1.1».

[2] В соответствии с документом «RFC 2986. PKCS #10: Certification Request Syntax Specification Version 1.7».

[3] В соответствии с документом «OASIS WS-Trust 1.3. WS-Trust X.509 Token Profile (WSTEP)».

[4] В соответствии с документом «RFC 8894. Simple Certificate Enrolment Protocol».

[5] В соответствии с документом «RFC 6960. X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP».

[6] Формат определяется документом «ITU-T Recommendation X.509 (10/2019). Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks».

[7] Формат определяется документом «ITU-T Recommendation X.509 (10/2019). Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks».

[8] Формат определяется документом «RFC 7292. PKCS #12: Personal Information Exchange Syntax v1.1»

[9] Данный алгоритм доступен при использовании СКЗИ «КриптоПро CSP» в составе Центра сертификации Aladdin eCA.

[10] Данный алгоритм доступен при использовании СКЗИ «КриптоПро CSP» в составе Центра сертификации Aladdin eCA.

Полномочия оператора

Доступные действия для Оператора Центра сертификации Aladdin eCA представлены в таблице ниже.

Таблица 2 – Полномочия Оператора Центра сертификации Aladdin eCA

Тип действия, осуществляемого пользователем, над объектом программы

Оператор

Создание сертификатов доступа для ограниченного набора субъектов ресурсных систем

+

Просмотр списка сертификатов доступа для ограниченного набора субъектов ресурсных систем

+

Экспорт списка выпущенных сертификатов для ограниченного набора субъектов ресурсных систем

+

Скачивание сертификата доступа для ограниченного набора доступных субъектов ресурсных систем

+

Скачивание сертификата доступа субъекта в контейнере #pkcs12 для ограниченного набора субъектов ресурсных систем

+

Скачивание цепочки сертификатов для ограниченного набора субъектов ресурсных систем

+

Управление статусом сертификата доступа субъекта для ограниченного набора субъектов ресурсных систем

+

Просмотр ограниченного списка субъектов ресурсных систем

+

Просмотр списка ограниченного набора зарегистрированных ресурсных систем

+

Обновление ограниченного набора субъектов ресурсных систем

+

Просмотр ограниченного набора идентификаторов расширенного использования ключа

+

Просмотр ограниченного количества шаблонов


Оператору Центра сертификации Aladdin eCA доступны субъекты (в том числе и выпущенные для них сертификаты) и шаблоны, на которые ему предоставлены полномочия в соответствии с назначенными уполномоченным пользователем Центра сертификации Aladdin eCA правилами доступа.

Доступные действия для Оператора Центра регистрации Aladdin eRA представлены в таблице ниже.

Таблица 3 – Полномочия Оператора Центра регистрации Aladdin eRA

Тип действия, осуществляемого пользователем, над объектом программы

Оператор

Просмотр информации о своих заявках на выпуск сертификатов

+

Просмотр информации об ограниченном наборе чужих заявок на выпуск сертификатов

+

Создание заявок на выпуск сертификатов для субъекта своей учётной записи

+

Создание заявок на выпуск сертификатов для субъекта любой учётной записи

+

Скачивание файла запроса на сертификат для своих заявок на выпуск сертификата по запросу

+

Скачивание файла запроса на сертификат для ограниченного набора чужих заявок на выпуск сертификата по запросу

+

Скачивание сертификата для своих заявок

+

Скачивание сертификата для ограниченного набора чужих заявок

+

Отзыв сертификатов для своих заявок

+

Отзыв сертификатов для ограниченного набора чужих заявок

+

Скачивание цепочки сертификатов для своих заявок

+

Скачивание цепочки сертификатов для ограниченного набора чужих заявок

+

Скачивание контейнера закрытого ключа PKCS#12 для своих заявок

+

Скачивание контейнера закрытого ключа PKCS#12 для ограниченного набора чужих заявок

+

Импорт сертификата на ключевой носитель для своих заявок

+

Импорт сертификата на ключевой носитель для ограниченного набора чужих заявок

+

Скачивание цепочки сертификатов издателя для своих заявок

+

Скачивание цепочки сертификатов издателя для ограниченного набора чужих заявок

+

Скачивание списка отозванных сертификатов

+

Отмена своих заявок

+

Обработка ограниченного набора заявок

+

Просмотр ограниченного количества записей журнала событий

+

Экспорт ограниченного количества записей журнала событий

+

Оператору Центра регистрации Aladdin eCA доступны субъекты (в том числе и выпущенные для них по заявкам сертификаты), на которые ему предоставлены полномочия в соответствии с назначенными уполномоченным пользователем Центра сертификации Aladdin eCA правилами доступа. Создание заявок на выпуск сертификатов для субъектов ресурсных систем может быть выполнена только по шаблонам, назначенным данным субъектам на основе правил выпуска.

Уровень подготовки оператора

Операторы Центра сертификации Aladdin eCA и Цента регистрации Aladdin eRA должны иметь навыки в работе с применением технических средств уровня семейства операционных систем Windows и семейства операционных систем Linux.