Продукты
SafeTech CA
KeyControl

SafeTech CA — современный отечественный центр сертификации, способный заменить Microsoft CA и не только. Продукт позволяет снизить риски приостановки работы Microsoft CA на территории Российской Федерации и выполнить требования законодательства по импортозамещению.

Решение легко и привычно позволяет:

  • выпускать сертификаты и управлять их жизненным циклом
  • применять как зарубежную, так и отечественную криптографию (ГОСТ)
  • проверять статус сертификата как через сеть точек CRL, так и online, через OCSP
  • создавать иерархию PKI, добавляя корневые/промежуточные/выпускающие CA
  • размещать ключи CA во внешних HSM
  • и многое другое

Интеграция решения в инфраструктуру реализуется при поддержке Enrollment-сервисов и через REST API.

Основные преимущества

Удобство и функциональность интерфейса

Обеспечивает работу не только с базовыми функциями управлениями сертификатами, но и работу с массовыми операциями и выпуском сертификатов, получением статистики и информации о доступности микросервисов.

Импортозамещение

Реализует протокол Microsoft WS-Trust X.509v3 Token Enrollment Extensions (MS-WSTEP). Также SafeTech CA поддерживает интеграцию с MS ActiveDirectory. В совокупности это делает возможным заменить Microsoft CA и обеспечить auto enrollment-сервис на полностью отечественном ПО.

SafeTech CA обеспечивает выполнение требований законодательства в области импортозамещения:

  • Указ Президента РФ от 30.03.2022 № 166
  • Указ Президента РФ от 01.05.2022 № 250
  • Указ Президента РФ от 07.05.2018 № 214
  • Приказы Министерства цифрового развития № 334 от 04.07.2017 и № 335 от 04.07.2018
  • Постановление Правительства РФ № 1236 от 16.11.2015

Гибкость и масштабируемость

Микросервисная архитектура обеспечивает горизонтальную и вертикальную масштабируемость и позволяет размещать дополнительные сервисы в различных сегментах.

Высокий уровень безопасности

  • Поддержка современных фреймворков и технологий, таких как Spring Security, OpenID Connect, WS-Trust и т.д.
  • Ролевая модель разграничения доступа (включая поддержку базовых ролей: Администратор, Оператор, Аудитор ИБ и т.д.)
  • Поддержка OAuth OIDC, включая возможность использования внешних систем безопасного доступа и каталогов субъектов
  • Аудит и журналирование событий безопасности, поддержка трансляции событий во внешние системы обеспечения ИБ (SIEM, IPS/IDS)
  • Поддержка размещения ключей Центра сертификации во внешних HSM (в том числе и для ГОСТ)

Основные компоненты

Центр сертификации

Основной компонент, ядро SafeTech CA. Обеспечивает выпуск сертификатов, работу с криптографией, взаимодействие с базой данных.

  • Криптографический модуль
    Модуль отвечает за криптографические операции, выполняемые центром сертификации. Работает как с RSA, так и с ECDSA и ГОСТ. Поддерживает возможность хранения ключей в HSM.
  • Сервис сертификации
    Основной сервис, выполняет функции выпуска, приостановки действия, возобновления действия и отзыва сертификатов.
  • Внутренние интерфейсы
    Модуль обеспечивает внутреннее взаимодействие и предоставляет ряд внутренних API.
  • Модуль аудита безопасности
    Модуль отвечает за аудит и логирование событий безопасности и действий администраторов и пользователей SafeTech CA. Модуль поддерживает возможность отправки событий во внешние SIEM-системы.

Сервис клиентского доступа

Отвечает за подключение всех типов клиентов к CA, обеспечивает маршрутизацию запросов между сервисами SafeTech CA. Обеспечивает внешние интерфейсы CA:

  • CRL Distribution Point
    Точки распространения списка отозванных сертификатов (CRL)
  • Authority Information Access
    Точка распространения информации о центре сертификации (AIA) REST-интерфейсы для выпуска сертификатов и управления системой

OCSP-сервис

Предоставляет возможность выполнить проверку статуса сертификата в online-режиме.

Сервис мониторинга

Агрегирует информацию о подключенных микросервисах, реализует механизмы балансировки нагрузки между несколькими экземплярами одного и того же сервиса.

Интерфейс Администратора УЦ / Оператора УЦ

Web-интерфейс SafeTech CA, обеспечивающий функции настройки, управления жизненным циклом сертификата, получения статистики центра сертификации и информации о текущем состоянии сервисов SafeTech CA.

Enrollment-сервисы

  • MS Enrollmen
    Обеспечивает поддержку выпуска и автоматического перевыпуска сертификатов для пользователей MS Active Directory и компьютеров MS Windows, реализует протокол Microsoft WSTrust X.509v3 Token Enrollment Extensions (MS-WSTEP).
  • SCEP
    Предоставляет возможность выпуска/перевыпуска сертификатов для Cisco-устройств, MacOS/iOS и прочих *nix-систем.

Сервис управления доступом

Сервис, выполняющий функции аутентификации и авторизации пользователей, управление пользователями и их ролями.

  • Модуль интеграции с внешними каталогами пользователей
    Модуль выполняет функции синхронизации пользователей и их групп из внешних LDAP-каталогов, в том числе и Active Directory
  • Модуль управления пользователями и правами доступа
    Модуль выполняет функции регистрации и управления пользователями, настройки ролей и прав доступа
  • Интерфейсы управления токенами доступа
    Интерфейс обеспечивает методы аутентификации по протоколу OpenID Connect, методы получения и обмена токенов доступа, методы получения информации о пользователях и их ролях

KeyControl — многофункциональная платформа для автоматизации работы с инфраструктурой открытых ключей. Решение работает по принципу конструктора, позволяя собирать любые бизнес-процессы, предоставляет функции самообслуживания объектов и субъектов и имеет развитую систему внешних интеграций, в том числе и с источниками данных о субъектах.

Продукт помогает существенно упростить процессы управления PKI-инфраструктурой, повысить её производительность и улучшить пользовательский опыт.

Основные преимущества

  • Импортонезависимое решение, поддерживающее работу как на ОС Microsoft Windows, так и на всех ОС семейства Linux, включая отечественные (Astra, Альт, Ред ОС и т.д.)
  • Net 6.0. СУБД: решение поддерживает работу с СУБД MS SQL и PostgreSQL
  • Может настраиваться под любые бизнес-процессы, включая самообслуживание

Основные возможности

  • Управление жизненным циклом и учёт:
    • сертификатов и ключей пользователей и информационных систем
    • ключевых носителей и пользователей, и информационных носителей
    • СКЗИ пользователей и информационных систем
  • Создание бизнес-процессов и автоматический старт на основании событий, происходящих в системе
  • Подготовка отчётности о всех объектах учёта системы, в том числе и по требованию регуляторов
  • Поддержка юридической значимости электронного документооборота с использованием электронной подписи при создании и согласовании заявок
  • Полный аудит всех действий администраторов и пользователей системы
  • Учёт автоматизированных рабочих мест
  • Формирование заявок из личного кабинета работника или администратора
  • Оповещение пользователей и администраторов о событиях в системе

Удобство

Автоматизация процесса учёта и управления жизненным циклом от создания запроса до выдачи готового сертификата субъекту:

  • работа с СКЗИ от первичного учёта закупленных лицензий СКЗИ до возврата от владельца с фиксацией всех действий, произведенных с СКЗИ
  • полный цикл работы с ключевыми носителями: от первичного учёта закупленных носителей до возврата от владельца с фиксацией всех действий, произведенных с ключевыми носителями
  • каталог субъектов в системе может вестись как вручную, так и автоматизированно (доступна полная автоматическая и частичная загрузка данных, а также синхронизация изменений).

Управление процессами

Позволяет настроить в системе полноценные процессы управления элементами инфраструктуры открытых ключей и автоматический старт бизнес-процессов по какому-либо событию, например:

  • процесс перевыпуска сертификата при приближении истечения срока его действия
  • передачу лицензий СКЗИ или токенов из центра в филиалы
  • согласование заявлений на выпуск сертификатов
  • УКЭП с проверками заявлений в СМЭВ и сторонних системах

Личный кабинет пользователя

Единый центр управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами. В личном кабинете можно:

  • запросить сертификат
  • оформить заявку на отзыв или перевыпуск сертификата
  • заказать ключевой носитель или лицензию на СКЗИ
  • разблокировать ключевой носитель и получить от него ПИН-код
  • получать вспомогательные уведомления (например, напоминания об окончании срока действия сертификата)

Безопасность

Платформа интегрирована с сервисами СМЭВ и ЕСИА, что обеспечивает возможность проверки корректности поданных заявлений на изготовление УКЭП. По умолчанию доступны проверки в МФД и Социальном фонде России (Пенсионном фонде), в сервисах Федеральной налоговой службы и ЕСИА — KeyControl ищет или регистрирует новый субъект в каталоге ЕСИА и публикует выпущенный для него сертификат.

Модель организации каталога субъектов* в системе является иерархической. С помощью механизмов разграничения доступа администраторов и учета владельцев информационных систем можно задать требуемый уровень доступа, что обеспечивает безопасность системы и эффективное разделение полномочий доступа.

* В качестве субъектов может выступать как пользователь (сотрудник, физическое лицо), так и информационная система (например, веб-сервер).