Продукты
SafeTech CA
KeyControl

SafeTech CA — современный отечественный центр сертификации, способный не только полностью заменить Microsoft CA, но и значительно оптимизировать процессы выпуска и управления жизненным циклом сертификатов.
Основные решаемые задачи:
  • выпуск сертификатов для пользователей MS Active Directory и компьютеров под управлением ОС Windows
  • выпуск сертификатов для linux-инфраструктуры: сервера, оборудование, компьютеры
  • выпуск сертификатов в интересах гибридных инфраструктур и систем контейнерной виртуализации
  • выпуск прочих сертификатов необходимых для поддержания соответствующего уровня информационной безопасности и обеспечения рабочих процессов (аутентификация, электронная подпись, шифрование и т.д.)
Базовые возможности центра сертификации:
  • выпуск и управление жизненным циклом сертификатов
  • поддержка зарубежной (RSA, ECDSA, EDDSA) и отечественной (ГОСТ) криптографии
  • поддержка иерархии PKI (корневые/промежуточные/выпускающие CA)
  • поддержка размещения ключей CA во внешнем HSM
  • управление рассылкой уведомлений о выпуске/истечении/отзыве сертификатов
Интеграционные возможности:
  • поддержка enrollment-сервисов и протоколов MS-WSTEP и SCEP
  • поддержка импорта шаблонов и сертификатов из действующего Microsoft ADCS
  • наличие REST API

Состав решения

Центр сертификации

Основной компонент – ядро SafeTech CA. Обеспечивает выпуск сертификатов, работу с криптографией, взаимодействие с базой данных.

Сервис клиентского доступа (Gateway)

Отвечает за подключение всех типов клиентов к CA, обеспечивает маршрутизацию запросов между сервисами SafeTech CA, включая предоставление точек распространения списка отозванных сертификатов (CRL), точки распространения информации о центре сертификации (AIA), REST-интерфейсов для выпуска сертификатов и управления системой.

OCSP-сервис

Предоставляет возможность выполнить проверку статуса сертификата в online-режиме

Сервис мониторинга (Discovery)

Агрегирует информацию о подключенных микросервисах, реализует механизмы балансировки нагрузки между несколькими экземплярами одного и того же сервиса

Интерфейс Администратора / Оператора / Пользователя

Web-интерфейс SafeTech CA, обеспечивающий функции настройки, управления жизненным циклом сертификата, получения статистики центра сертификации и информации о текущем состоянии сервисов SafeTech CA, а также обеспечивающий самообслуживание пользователей (формирование запросов на сертификаты, отслеживание статуса из согласования и т.д.).

Сервис уведомлений

Обеспечивает отправку и получение уведомлений по событиям в системе.

Enrollment-сервисы

Сервисы, реализующие enrollment-протоколы.

Сервис управления доступом

Сервис, выполняющий функции аутентификации и авторизации пользователей, управление пользователями и их ролями.

Описание технологической платформы

SafeTech CA является программным продуктом полностью отечественной разработки, SafeTech CA не наследует/не переиспользует какие-либо open source решения

Поддерживаемые ОС: Windows, Linux (включая отечественные Astra, АЛЬТ, РедОС)
Поддерживаемые СУБД: PostgreSQL
Программная платформа: Java 21

Основные преимущества

Импортозамещение
SafeTech CA обеспечивает выполнение требований законодательства в области импортозамещения:
  • Указ Президента РФ от 30.03.2022 № 166
  • Указ Президента РФ от 01.05.2022 № 250
  • Указ Президента РФ от 07.05.2018 № 214
  • Приказы Министерства цифрового развития № 334 от 04.07.2017 и № 335 от 04.07.2018
  • Постановление Правительства РФ № 1236 от 16.11.2015
Бесшовная миграция с Microsoft CA

Механизм импорта шаблонов и сертификатов из Microsoft CA помогает осуществить миграцию быстро и легко, без длительного периода параллельной работы двух сервисов и ожидания истечения срока действия сертификатов, выпущенных Microsoft CA.

Поддержка ГОСТ-криптографии

Возможность работы с сертификатами не только на базе зарубежных RSA, ECDSA, EDDSA, но и российских ГОСТ-криптоалгоритмов значительно упрощает управление PKI-инфраструктурой, избавляя от необходимости использовать несколько центров сертификации под разные процессы.

Универсальность применения

Поддержка различных PKI-протоколов позволяет выпускать сертификаты для обширного перечня сетевого оборудования и различных устройств, работающих на разных операционных системах (Windows, Linux, Mac, iOS, *nix-системы).

Удобство и функциональность интерфейса

Широкая функциональность и наглядные дашборды дают дополнительные возможности по управлению сертификатами, в том числе, для реализации массовых операций с ними, получения статистики и выгрузки настраиваемых отчетов о выпущенных сертификатах, а также визуализации данных о доступности микросервисов.

Уведомление об изменении статуса сертификата

Оперативное и своевременное уведомление пользователя, привычно настраиваемое администратором сервиса, позволит быстро проинформировать пользователя об изменении статуса сертификата.

Личный кабинет пользователя

Простой и понятный web-интерфейс добавляет гибкости организации бизнес-процессов по управлению сертификатами, предоставляя пользователю инструмент для самостоятельного формирования запросов, отслеживания статуса их согласования, выгрузки выпущенных сертификатов и ключей и т.д.

Личный кабинет пользователя

Простой и понятный web-интерфейс добавляет гибкости организации бизнес-процессов по управлению сертификатами, предоставляя пользователю инструмент для самостоятельного формирования запросов, отслеживания статуса их согласования, выгрузки выпущенных сертификатов и ключей и т.д.

Гибкость и масштабируемость

Микросервисная архитектура обеспечивает горизонтальную и вертикальную масштабируемость и позволяет размещать дополнительные сервисы в различных сегментах.

Производительность и отказоустойчивость

Механизм автоматического отслеживания расположения, доступности и состояния микросервисов позволяет создавать любые отказоустойчивые конфигурации и решать задачи кластеризации в крупных территориально распределенных ИТ-инфраструктурах.

Высокий уровень безопасности
  • Поддержка современных фреймворков и технологий, таких как Spring Security, OpenID Connect, WS-Trust и т.д.
  • Ролевая модель разграничения доступа (включая поддержку базовых ролей: Администратор, Оператор, Аудитор ИБ и т.д.)
  • Поддержка OAuth OIDC, включая возможность использования внешних систем безопасного доступа и каталогов субъектов
  • Аудит и журналирование событий безопасности, поддержка трансляции событий во внешние системы обеспечения ИБ (SIEM, IPS/IDS)
  • Поддержка размещения ключей Центра сертификации во внешних HSM (в том числе и для ГОСТ)

Документация

Инструкция по установке и настройке

Для получения дистрибутивов программного обеспечения SafeTech CA свяжитесь с нами.

Инструкция по установке и настройке доступна по ссылке: Руководство по установке ST CA

Инструкция эксплуатации

Руководство администратора

Руководство пользователя

KeyControl — многофункциональная платформа для автоматизации работы с инфраструктурой открытых ключей. Решение работает по принципу конструктора, позволяя собирать любые бизнес-процессы, предоставляет функции самообслуживания объектов и субъектов и имеет развитую систему внешних интеграций, в том числе и с источниками данных о субъектах. Продукт помогает существенно упростить процессы управления PKI-инфраструктурой, повысить её производительность и улучшить пользовательский опыт.

Основные преимущества

  • Импортонезависимое решение, поддерживающее работу как на ОС Microsoft Windows, так и на всех ОС семейства Linux, включая отечественные (Astra, Альт, Ред ОС и т.д.)
  • Net 6.0. СУБД: решение поддерживает работу с СУБД MS SQL и PostgreSQL
  • Может настраиваться под любые бизнес-процессы, включая самообслуживание

Основные возможности

  • Управление жизненным циклом и учёт:
    • сертификатов и ключей пользователей и информационных систем
    • ключевых носителей и пользователей, и информационных носителей
    • СКЗИ пользователей и информационных систем
  • Создание бизнес-процессов и автоматический старт на основании событий, происходящих в системе
  • Подготовка отчётности о всех объектах учёта системы, в том числе и по требованию регуляторов
  • Поддержка юридической значимости электронного документооборота с использованием электронной подписи при создании и согласовании заявок
  • Полный аудит всех действий администраторов и пользователей системы
  • Учёт автоматизированных рабочих мест
  • Формирование заявок из личного кабинета работника или администратора
  • Оповещение пользователей и администраторов о событиях в системе

Удобство

Автоматизация процесса учёта и управления жизненным циклом от создания запроса до выдачи готового сертификата субъекту:

  • работа с СКЗИ от первичного учёта закупленных лицензий СКЗИ до возврата от владельца с фиксацией всех действий, произведенных с СКЗИ
  • полный цикл работы с ключевыми носителями: от первичного учёта закупленных носителей до возврата от владельца с фиксацией всех действий, произведенных с ключевыми носителями
  • каталог субъектов в системе может вестись как вручную, так и автоматизированно (доступна полная автоматическая и частичная загрузка данных, а также синхронизация изменений).

Управление процессами

Позволяет настроить в системе полноценные процессы управления элементами инфраструктуры открытых ключей и автоматический старт бизнес-процессов по какому-либо событию, например:
  • процесс перевыпуска сертификата при приближении истечения срока его действия
  • передачу лицензий СКЗИ или токенов из центра в филиалы
  • согласование заявлений на выпуск сертификатов
  • УКЭП с проверками заявлений в СМЭВ и сторонних системах

Личный кабинет пользователя

Единый центр управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами. В личном кабинете можно:
  • запросить сертификат
  • оформить заявку на отзыв или перевыпуск сертификата
  • заказать ключевой носитель или лицензию на СКЗИ
  • разблокировать ключевой носитель и получить от него ПИН-код
  • получать вспомогательные уведомления (например, напоминания об окончании срока действия сертификата)

Безопасность

Платформа интегрирована с сервисами СМЭВ и ЕСИА, что обеспечивает возможность проверки корректности поданных заявлений на изготовление УКЭП. По умолчанию доступны проверки в МФД и Социальном фонде России (Пенсионном фонде), в сервисах Федеральной налоговой службы и ЕСИА — KeyControl ищет или регистрирует новый субъект в каталоге ЕСИА и публикует выпущенный для него сертификат. Модель организации каталога субъектов* в системе является иерархической. С помощью механизмов разграничения доступа администраторов и учета владельцев информационных систем можно задать требуемый уровень доступа, что обеспечивает безопасность системы и эффективное разделение полномочий доступа. * В качестве субъектов может выступать как пользователь (сотрудник, физическое лицо), так и информационная система (например, веб-сервер).