криптопро pki что это
Криптопро pki что это
КриптоПро PKI-Шлюз — комплекс программного обеспечения для централизованного и унифицированного обмена сообщениями между различными компонентами PKI-инфраструктуры организации, обеспечивающей управление жизненным циклом сертификатов ключей проверки электронной подписи и применение электронной подписи.
КриптоПро PKI-Шлюз используется для решения задачи интеграции разрозненных информационных систем PKI-инфраструктуры в единый программный комплекс с применением сервис-ориентированного подхода.
Основной принцип: интеграция различных приложений путём установки коммуникационной шины (брокера сообщений) между ними и настройка «общения» этих приложений с шиной. Шина отделяет приложения друг от друга, позволяя им коммуницировать независимо от других приложений и даже «не зная» о существовании друг друга.
Назначение КриптоПро PKI-Шлюз
Потребители сервисов PKI-Шлюза
Пользователи — владельцы сертификатов, обращающиеся непосредственно к PKI-инфраструктуре или посредством внешних ИС для создания/проверки ЭП и управления жизненным циклом сертификатов.
Внешние ИС — информационные системы, предоставляющие пользователям или другим системам возможности PKI-сервисов.
Оператор выдачи сертификатов — сотрудник, ответственный за идентификацию заявителя, проверку предоставленных сведений, направления запроса на создание/отзыв сертификата в УЦ, выдачу сертификата.
Оператор аудита — сотрудник, ответственный за сбор и анализ статистической информации, построение отчетов и осуществляющий мониторинг работоспособности PKI-инфраструктуры.
PKI-Шлюз — единая точка входа (единый API) потребителей для доступа к следующим сервисам:
Компоненты PKI-Шлюза
Интеграция с другими PKI-сервисами
Про PKI «на пальцах» за 10 минут
Предложил коллегам провести внутреннюю мини-лекцию по сабжу — идея зашла. Сел писать план лекции и… чот психанул — в итоге очнулся, дописывая небольшой гайд. Подумал, что будет полезно добавить сюда что-то для быстрого понимания, что такое PKI, зачем она нужна и как работает, так как пока готовился, чтобы освежить память, искал информацию в том числе на полюбившемся «Хабрахабре», но статей в таком формате не нашел.
Пишу на примере наших повседневных задач, которые знакомы многим: беспарольный доступ к серверам OpenVPN и защита доступа к ресурсам с помощью HTTPS.
Без теории не обойтись
PKI (Public Key Infrastructure, инфраструктура открытых ключей) — это про безопасность. Подразумевается, что у каждой сущности в инфраструктуре есть свой ключ, которым она однозначно идентифицируется. То есть, если ключ украден, пострадавшей сущностью может представиться укравший. PKI нужна для того, чтобы оперативно минимизировать последствия такой кражи. Ключ представлен двумя частями: публичной и приватной.
Аналог — это RSA ключи для SSH, но инфраструктурой их назвать сложно, так как отсутствует централизованный механизм управления ими. Также разница в том, что публичная часть ключа в паре ключей для SSH неизменна, а сертификат (публичную часть ключа участника PKI) можно перевыпустить в любой момент.
В PKI существует один (на самом деле, должно быть минимум два) или несколько Certification Authority — центров сертификации (удостоверяющих центров), отдающих публичные части своих ключей клиентам, которым выдают подписанные ими сертификаты. Таким образом, участники инфраструктуры «понимают», кто ими управляет, и действителен ли сертификат, выданный им или их «товарищам», в настоящий момент времени (одним из важнейших атрибутов сертификатов является срок их действия). Либо же сервер, у которого есть публичная часть ключа CA инфраструктуры, в которой он и его клиенты работают, понимает, что к нему пришел клиент с действительным сертификатом, и разрешает ему что-то, или запрещает в противном случае.
OpenVPN: как это бывает
На самом деле во многих компаниях на этот случай уже есть «PKI» и у него есть имя, потому что это кто-то из сотрудников. Назовем такого человека, к примеру, Полуэкт (с) и расскажем, как обычно это работает, а потом я расскажу, как это должно быть в идеале.
При появлении в компании нового сотрудника Полуэкт создает и присылает ему архив, в котором, помимо конфигурации собственно OpenVPN клиента, находятся файлы (на примере сотрудника Иванова А.А.):
В компании Acme все эти файлы генерирует Полуэкт…
А теперь как должно быть
На моем примере, упрощенно:
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
(пароль в конце лучше не указывать, а то придется его вводить каждый раз при подключении, а VPN у нас по сертификатам как раз, чтобы этого не было; тем более у нас в Pixonic есть OTP от Google);
Нужна ли вам эта фишка — вопрос для обсуждения. Соответственно, то, как ее внедрить, пока что выходит за рамки этой статьи.
И про срок действия клиентского сертификата: если предположить, что я устроился в Pixonic по временному контракту на 3 месяца, и мы его не продлили, то в описанной ситуации мой доступ к VPN автоматически отключится через 90 дней с момента выпуска сертификата. Чего не случится с SSH-доступом, если коллеги забудут отключить аккаунт во FreeIPA или удалить строчку из authorized_keys руками. C — сесуриту.
Теперь по Борщеву HTTPS
Предположим, вы хотите «включить SSL» для вашего сайта, чтобы у посетителей появился красивый замочек в браузере. Тут, собственно, все то же самое, но с некоторыми нюансами:
Что такое КриптоПро PKI
.png "криптопро pki что это. Смотреть фото криптопро pki что это. Смотреть картинку криптопро pki что это. Картинка про криптопро pki что это. Фото криптопро pki что это")
Из нашей статьи вы узнаете:
Для поддержания криптографической защиты в интернете нужно специальное средство. В роли такого средства выступает PKI — инфраструктура открытых ключей. «КриптоПро PKI» — инфраструктура, которая обеспечивает криптографическую защиту в агрессивной среде.
Что такое «КриптоПро PKI»
Одна из важнейших функций инфраструктуры — управление открытыми ключами. С помощью служб и средств, которыми она оперирует, создаются приложения для работы с электронными подписями. Инфраструктура обеспечивает управление жизненным циклом сертификатов ключей проверки электронной подписи. Известный криптопровайдер «КриптоПро CSP» использует в своей основе инфраструктуру «КриптоПро PKI».
Инфраструктура поддерживается множеством приложений: электронной почтой, протоколами платежей, документами с электронной цифровой подписью и т.д. Её успешно применяют в стандартных программных средствах: Microsoft Outlook, CryptoAPI, CAPICOM 1.0 и т.д.
Что такое «КриптоПро PKI-шлюз»
«КриптоПро PKI-шлюз» — это программа, которая помогает обмениваться сообщениями разным частям PKI-инфраструктуры. С помощью шлюза решаются задачи по объединению различных систем инфраструктуры в одну централизованную. Это обеспечивает коммуникационная шина, с которой общаются системы, — шина даёт им возможность взаимодействовать независимо от других частей инфраструктуры.
Со шлюзом взаимодействуют владельцы сертификатов, проверяющие подпись сотрудники, операторы аудита и внешние информационные системы. Пользователи могут взаимодействовать со шлюзом благодаря простому интерфейсу.
Шлюз обеспечивает безопасность на каждому уровне взаимодействия систем, а также балансирует нагрузку. По выданным сертификатам программа собирает данные и формирует статистику.
Для работы с электронной подписью нужно скачать и установить криптопровайдер. «КриптоПро CSP» — популярный и надёжный вариант. У программы есть бесплатный период, но после истечения срока бесплатного пользования, нужно приобрести лицензию.
Для приобретения лицензии «КриптоПро CSP» заполните форму обратной связи.