Основные решаемые задачи:
- выпуск сертификатов для пользователей MS Active Directory и компьютеров под управлением ОС Windows
- выпуск сертификатов для linux-инфраструктуры: сервера, оборудование, компьютеры
- выпуск сертификатов в интересах гибридных инфраструктур и систем контейнерной виртуализации
- выпуск прочих сертификатов необходимых для поддержания соответствующего уровня информационной безопасности и обеспечения рабочих процессов (аутентификация, электронная подпись, шифрование и т.д.)
Базовые возможности центра сертификации:
- выпуск и управление жизненным циклом сертификатов
- поддержка зарубежной (RSA, ECDSA, EDDSA) и отечественной (ГОСТ) криптографии
- поддержка иерархии PKI (корневые/промежуточные/выпускающие CA)
- поддержка размещения ключей CA во внешнем HSM
- управление рассылкой уведомлений о выпуске/истечении/отзыве сертификатов
Интеграционные возможности:
- поддержка enrollment-сервисов и протоколов MS-WSTEP и SCEP
- поддержка импорта шаблонов и сертификатов из действующего Microsoft ADCS
- наличие REST API
Состав решения
Центр сертификации
Основной компонент – ядро SafeTech CA. Обеспечивает выпуск сертификатов, работу с криптографией, взаимодействие с базой данных.
Сервис клиентского доступа (Gateway)
Отвечает за подключение всех типов клиентов к CA, обеспечивает маршрутизацию запросов между сервисами SafeTech CA, включая предоставление точек распространения списка отозванных сертификатов (CRL), точки распространения информации о центре сертификации (AIA), REST-интерфейсов для выпуска сертификатов и управления системой.
OCSP-сервис
Предоставляет возможность выполнить проверку статуса сертификата в online-режиме
Сервис мониторинга (Discovery)
Агрегирует информацию о подключенных микросервисах, реализует механизмы балансировки нагрузки между несколькими экземплярами одного и того же сервиса
Интерфейс Администратора / Оператора / Пользователя
Web-интерфейс SafeTech CA, обеспечивающий функции настройки, управления жизненным циклом сертификата, получения статистики центра сертификации и информации о текущем состоянии сервисов SafeTech CA, а также обеспечивающий самообслуживание пользователей (формирование запросов на сертификаты, отслеживание статуса из согласования и т.д.).
Сервис уведомлений
Обеспечивает отправку и получение уведомлений по событиям в системе.
Enrollment-сервисы
Сервисы, реализующие enrollment-протоколы.
Сервис управления доступом
Сервис, выполняющий функции аутентификации и авторизации пользователей, управление пользователями и их ролями.
Описание технологической платформы
SafeTech CA является программным продуктом полностью отечественной разработки, SafeTech CA не наследует/не переиспользует какие-либо open source решения
Поддерживаемые ОС: Windows, Linux (включая отечественные Astra, АЛЬТ, РедОС)Поддерживаемые СУБД: PostgreSQL
Программная платформа: Java 21
Основные преимущества
Импортозамещение
SafeTech CA обеспечивает выполнение требований законодательства в области импортозамещения:- Указ Президента РФ от 30.03.2022 № 166
- Указ Президента РФ от 01.05.2022 № 250
- Указ Президента РФ от 07.05.2018 № 214
- Приказы Министерства цифрового развития № 334 от 04.07.2017 и № 335 от 04.07.2018
- Постановление Правительства РФ № 1236 от 16.11.2015
Бесшовная миграция с Microsoft CA
Механизм импорта шаблонов и сертификатов из Microsoft CA помогает осуществить миграцию быстро и легко, без длительного периода параллельной работы двух сервисов и ожидания истечения срока действия сертификатов, выпущенных Microsoft CA.
Поддержка ГОСТ-криптографии
Возможность работы с сертификатами не только на базе зарубежных RSA, ECDSA, EDDSA, но и российских ГОСТ-криптоалгоритмов значительно упрощает управление PKI-инфраструктурой, избавляя от необходимости использовать несколько центров сертификации под разные процессы.
Универсальность применения
Поддержка различных PKI-протоколов позволяет выпускать сертификаты для обширного перечня сетевого оборудования и различных устройств, работающих на разных операционных системах (Windows, Linux, Mac, iOS, *nix-системы).
Удобство и функциональность интерфейса
Широкая функциональность и наглядные дашборды дают дополнительные возможности по управлению сертификатами, в том числе, для реализации массовых операций с ними, получения статистики и выгрузки настраиваемых отчетов о выпущенных сертификатах, а также визуализации данных о доступности микросервисов.
Уведомление об изменении статуса сертификата
Оперативное и своевременное уведомление пользователя, привычно настраиваемое администратором сервиса, позволит быстро проинформировать пользователя об изменении статуса сертификата.
Личный кабинет пользователя
Простой и понятный web-интерфейс добавляет гибкости организации бизнес-процессов по управлению сертификатами, предоставляя пользователю инструмент для самостоятельного формирования запросов, отслеживания статуса их согласования, выгрузки выпущенных сертификатов и ключей и т.д.
Личный кабинет пользователя
Простой и понятный web-интерфейс добавляет гибкости организации бизнес-процессов по управлению сертификатами, предоставляя пользователю инструмент для самостоятельного формирования запросов, отслеживания статуса их согласования, выгрузки выпущенных сертификатов и ключей и т.д.
Гибкость и масштабируемость
Микросервисная архитектура обеспечивает горизонтальную и вертикальную масштабируемость и позволяет размещать дополнительные сервисы в различных сегментах.
Производительность и отказоустойчивость
Механизм автоматического отслеживания расположения, доступности и состояния микросервисов позволяет создавать любые отказоустойчивые конфигурации и решать задачи кластеризации в крупных территориально распределенных ИТ-инфраструктурах.
Высокий уровень безопасности
- Поддержка современных фреймворков и технологий, таких как Spring Security, OpenID Connect, WS-Trust и т.д.
- Ролевая модель разграничения доступа (включая поддержку базовых ролей: Администратор, Оператор, Аудитор ИБ и т.д.)
- Поддержка OAuth OIDC, включая возможность использования внешних систем безопасного доступа и каталогов субъектов
- Аудит и журналирование событий безопасности, поддержка трансляции событий во внешние системы обеспечения ИБ (SIEM, IPS/IDS)
- Поддержка размещения ключей Центра сертификации во внешних HSM (в том числе и для ГОСТ)
Документация
Инструкция по установке и настройке
Для получения дистрибутивов программного обеспечения SafeTech CA свяжитесь с нами.
Инструкция по установке и настройке доступна по ссылке: Руководство по установке ST CA
Инструкция эксплуатации
Основные преимущества
- Импортонезависимое решение, поддерживающее работу как на ОС Microsoft Windows, так и на всех ОС семейства Linux, включая отечественные (Astra, Альт, Ред ОС и т.д.)
- Net 6.0. СУБД: решение поддерживает работу с СУБД MS SQL и PostgreSQL
- Может настраиваться под любые бизнес-процессы, включая самообслуживание
Основные возможности
- Управление жизненным циклом и учёт:
- сертификатов и ключей пользователей и информационных систем
- ключевых носителей и пользователей, и информационных носителей
- СКЗИ пользователей и информационных систем
- Создание бизнес-процессов и автоматический старт на основании событий, происходящих в системе
- Подготовка отчётности о всех объектах учёта системы, в том числе и по требованию регуляторов
- Поддержка юридической значимости электронного документооборота с использованием электронной подписи при создании и согласовании заявок
- Полный аудит всех действий администраторов и пользователей системы
- Учёт автоматизированных рабочих мест
- Формирование заявок из личного кабинета работника или администратора
- Оповещение пользователей и администраторов о событиях в системе
Удобство
Автоматизация процесса учёта и управления жизненным циклом от создания запроса до выдачи готового сертификата субъекту:
- работа с СКЗИ от первичного учёта закупленных лицензий СКЗИ до возврата от владельца с фиксацией всех действий, произведенных с СКЗИ
- полный цикл работы с ключевыми носителями: от первичного учёта закупленных носителей до возврата от владельца с фиксацией всех действий, произведенных с ключевыми носителями
- каталог субъектов в системе может вестись как вручную, так и автоматизированно (доступна полная автоматическая и частичная загрузка данных, а также синхронизация изменений).
Управление процессами
Позволяет настроить в системе полноценные процессы управления элементами инфраструктуры открытых ключей и автоматический старт бизнес-процессов по какому-либо событию, например:- процесс перевыпуска сертификата при приближении истечения срока его действия
- передачу лицензий СКЗИ или токенов из центра в филиалы
- согласование заявлений на выпуск сертификатов
- УКЭП с проверками заявлений в СМЭВ и сторонних системах
Личный кабинет пользователя
Единый центр управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами. В личном кабинете можно:- запросить сертификат
- оформить заявку на отзыв или перевыпуск сертификата
- заказать ключевой носитель или лицензию на СКЗИ
- разблокировать ключевой носитель и получить от него ПИН-код
- получать вспомогательные уведомления (например, напоминания об окончании срока действия сертификата)