Программно-аппаратный комплекс для создания Удостоверяющих Центров
ПАК «ЛИССИ-УЦ»
Внимание!
Использование схемы подписи
ГОСТ Р 34.10-2001 
для формирования подписи после 31 декабря 2018 года не
допускается!
Одним из основных компонентов инфраструктуры открытых ключей (ИОК/PKI) и автоматизированных систем, использующих электронную подпись, является удостоверяющий центр.
ПАК «ЛИССИ-УЦ» предназначен для реализации функций Удостоверяющего центра, предусмотренных Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
ПАК «ЛИССИ-УЦ» функционирует по управлением ОС Linux Debian 7.11 с версией ядра не ниже 2.6.17.
ПАК «ЛИССИ-УЦ» соответствует «Требованиям к информационной безопасности удостоверяющих центров» по классам KС1 и КС2, «Требованиям к средствам удостоверяющего центра», утвержденным приказом ФСБ России от 27.12.2011 № 796, установленным для классов КС1 и КС2, и «Требованиям к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденным приказом ФСБ России от 27.12.2011 № 795 с учетом документа «ИЗВЕЩЕНИЕ об использовании стандартных атрибутов имени commonName (общее имя), surname (фамилия), givenName (приобретенное имя) и дополнительных атрибутов имени поля «subject» в структуре квалифицированного сертификата ключа проверки электронной подписи».
Согласно выписке из заключения о соответствии средство ПАК «ЛИССИ-УЦ»
(исполнение 3, 4) разрешается эксплуатировать до 4 июня 2023 года.
ПАК «ЛИССИ-УЦ» полностью поддерживает российскую криптографию и обеспечивает:
- выполнение процедуры регистрации электронных запросов от пользователей на сертификаты ключей проверки электронной подписи в Центре регистрации;
- создание сертификатов ключей проверки электронной подписи пользователей в соответствии с рекомендациями Х.509 версии 3;
- создание сертификатов ключей проверки электронной подписи в соответствии с требованиями документа «Требования к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденного приказом ФСБ России от 27.12.2011 № 795;
- выдачу сертификата ключа проверки электронной подписи на бумажном носителе. Форма сертификата ключа проверки электронной подписи на бумажном носителе удовлетворяет требованиям документа «Требования к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденных приказом ФСБ России от 27.12.2011 № 795.
В качестве средства электронной подписи (ЭП) используется ПМ «ЛИРССЛ-CSP», которое «при выполнении операций создания и проверки ЭП, создания ключа ЭП и ключа проверки ЭП удовлетворяет «Требованиям к средствам электронной подписи», утвержденным приказом ФСБ России №796 по классам КС1 и КС2 при выполнении требований нормативных документов, входящих в состав формуляра».
Состав стандартной комплектации ПАК «ЛИССИ-УЦ»:
- Центр сертификации;
- Центр регистрации;
- АРМ разбора конфликтных ситуаций.
В расширенной комплектации ПАК «ЛИССИ-УЦ» могут быть использованы один или несколько дополнительных модулей из следующего списка:
- Сервер штампов времени (сервер TSP);
-
Сервер OCSP;
- подсистема создания заявок и мониторинга УЦ «ЛИССИ-УЦ».
На внутреннем сервере комплекса функционирует только Центр сертификации (ЦС), а на внешнем все остальные службы. Такая конфигурация базового комплекта УЦ позволяет надежно защитить от внешних атак ЦС и обеспечить оперативный обмен данными (заявки, сертификаты, списки аннулированных сертификатов и т.п.) между ЦС и центром регистрации (ЦР). Центр сертификации предназначен для формирования сертификатов ключей проверки ЭП пользователей и администраторов Удостоверяющего центра, списков аннулированных сертификатов, хранения базы сертификатов.
На внешнем сервере удостоверяющего центра функционируют следующие компоненты:
- Центр регистрации (ЦР), предназначенный для хранения регистрационных данных пользователей, запросов на сертификаты и сертификаты пользователей;
- Дополнительно может поставляться сервер штампов времени – сервер TSP, предназначенный для выдачи штампов времени (ответы сервера TSP используются для создания усовершенствованной ЭП) и сервер OCSP, предназначенный для проверки списка аннулированных сертификатов в автоматическом режиме.
Доступ администраторов ЦС, ЦР осуществляется через веб-интерфейс по протоколу HTTPS в авторизованном режиме с использованием сертификатов ключей проверки ЭП по ГОСТ Р 34.10-2012. Для формирования запросов и получения сертификатов ключа проверки электронной подписи, сформированного в соответствии с ГОСТ Р 34.10-2012, могут использоваться следующие браузеры:
- Red Firefox при условии использования ими криптоплагина, работающего с российской криптографией;
- Microsoft Internet Explorer (IE) при условии, что на рабочем месте пользователя установлен криптопровайдер (CSP), поддерживающий российскую криптографию, например, ПМ «ЛИССИ-CSP» или КриптоПро CSP, а также элемент управления ActiveX CAPICOM или плагин на базе MS CSP.
)
Рис.1.Стартовая страница УЦ
Форма заявки представлена ниже. Красным помечены поля, обязательные для заполнения. Заполнение заявки входит в обязанности администратора ЦР (см. рис.2).
)
Рис.2. Веб-интерфейс администратора ЦР
Утвержденные заявки администратор передает в Центр сертификации. Администратор ЦС просматривает поступившие утвержденные заявки и принимает решение о выдаче сертификатов. Форма сертификата представлена ниже, она соответствует требованиям к форме квалифицированного сертификата ключа проверки электронной подписи (см. рис.3).
)
Рис.3. Веб-интерфейс администратора ЦС
Выписанные сертификаты ЦС передает в ЦР.
Пользователь может получать сертификаты только при личном посещении удостоверяющего центра.
С использованием подсистемы создания заявок и мониторинга УЦ «ЛИССИ-УЦ» можно распечатать сертификат в соответствии с Требованиями к форме квалифицированного сертификата ключа проверки электронной подписи (Приказ ФСБ РФ от 27.12.2011г. №795) (рис.4).
)
Рис.4. Внешний вид сертификата ключа проверки электронной подписи
Основные функции, реализуемые ПАК «ЛИССИ-УЦ»:
- Взаимодействие компонент, а также доступ к ЦР и ЦС по протоколу
HTTPS;
- Генерация ключевых пар (ГОСТ 34.10-2012);
- Формирование и хранение запросов на сертификаты в формате PKCS#10;
- Прием запросов на сертификаты от пользователей в формате PKCS#10;
- Редактирование запросов пользователей;
- Выдача и переиздание сертификатов;
- Пакетная выдача сертификатов по утвержденным заявкам;
- Формирование списков аннулированных сертификатов;
- Импорт и экспорт ключевых пар, запросов, сертификатов, цепочек сертификатов, списков аннулированных сертификатов в форматах DER, BER, PEM, PKCS#12, PKCS#8;
- Публикация списков аннулированных сертификатов;
- Кросс-сертификация;
- Поддержка протокола OCSP;
- Техническая поддержка при проведении разбора конфликтных ситуаций;
- Подтверждение подлинности электронной подписи на электронном документе в отношении выданных УЦ сертификатов.
Презентации
