СКЗИ «ЛИРССЛ-CSP». Программный модуль FOX-XCA - центр выдачи и управления сертификатами для малых и средних предприятий
I think noone ever looked at the code as deeply as you did.
Works like a charm now. Thanks.
I also tried the liblircryptoki — works good.
Christian Hohnst"adt, Programming, Translation and Testing XCA
Я думаю, что еще никто так глубоко не заглядывал в мой код, как вы.
Работает как часы, просто замечательно. Благодарю!
Я также попробовал токен lircryptoki – работает хорошо.
Christian Hohnst"adt, разработчик XCA
Удостоверяющий
центр (УЦ) – это достаточно сложный программно-аппаратный комплекс, состоящий
из множества компонент, требующий целый штат высококвалифицированных специалистов
для обеспечения его работоспособности и т.д., предназначенный для издания и управления сертификатами x509 v.3.
)
Для малых и средних предприятий развертывание такого рода УЦ не только не по силам, но и
аналогично стрельбе из пушки по воробьям. Малому и среднему бизнесу не нужна
большая часть функциональности подобных комплексов: ни к чему им
маcштабируемость, горячее резервирование, разделение полномочий и т.д.
Специально для малых и средних предприятий в составе СКЗИ «ЛИРССЛ-CSP» (положительное заключение №149.3.2.3-1433 от 18.07.2017 г.). разработан программный модуль, являющийся центром выдачи и управления сертификатами FOX-XCA (ПМ FOX-XCA). ПМ FOX-XCA создан на базе проекта XCA версии 0.9.1 с поддержкой российской криптографии (ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13.2015, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012).
ПМ FOX-XCA - это, по сути, полнофункциональный удостоверяющий центр, предназначенный для использования в малых и средних предприятиях, в банках и т.д. и обеспечивающий выпуск сертификатов, в том числе квалифицированных сертификатов в соответствии с требованиями документа «Требования к форме квалифицированного сертификата ключа проверки электронной подписи», утвержденного приказом ФСБ России от 27.12.2011 № 795, для сотрудников этих компаний.
)
Для хранения сертификатов и ключей ПМ FOX-XCA имеет собственную базу данных (БД), доступ к которой защищен паролем. Вместе с тем ПМ FOX-XCA может работать и с токенами/смарткартами PKCS#11 с поддержкой российской криптографиии. Говоря о токенах PKCS#11, прежде всего имеются ввиду сертифицированные токены из состава СКЗИ «ЛИРССЛ-CSP», а именно программный токен LS11SW2016 и программно-аппаратный токен на базе USB-флешки - LS11USB2016. Естественно, могут использоваться токены /смарткарты и других производителей, разработанные в соответствии с требованиями документа «Методические рекомендации. Расширение PKCS#11 для использования российских стандартов ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015», проект которого подготовлен Техническим Комитетом ТК-26, например, СКЗИ «MS_KEY K», Рутокен ЭЦП, eToken ГОСТ и др.
Для подключения криптопровайдеров PKCS#11 достаточно подключить соответствующую библиотеку (Файл->Опции):
)
Таким образом, сертификаты и ключевые пары
(ключи) могут храниться как в базе данных (БД) ПМ FOX-XCA, так и на
устройствах PKCS#11 (токенах). Из базы данных личные сертификаты (сертификат и закрытый ключ) могут экспортироваться в защищенный контейнер PKCS#12.
При использовании электронных ключей с аппаратной реализацией российского стандарта электронной подписи (ЭП) ключевая пара и сам корневой сертификат в ПМ FOX-XCA хранятся на токене уполномоченного лица (например, на Рутокен ЭЦП):
)
Возможности аппаратного токена
позволяют осуществлять механизм электронной подписи так, чтобы закрытый
(секретный) ключ подписи никогда не покидал пределы токена. Таким образом,
исключается возможность компрометации закрытого ключа ЦС.
Администратор ПМ FOX-XCA может создавать ключевые пары для сотрудников организации, в
которой он функционирует, на персональных токенах, выпускать сертификаты,
используя ключевую пару корневого сертификата, хранящуюся на отдельном токене
администратора комплекса:
)
)
Затем администратор передает персональный токен пользователю для дальнейшего использования в работе, например, для участия в электронных торгах, выполнения банковских операций (дистанционное банковское обслуживание), подписания документов (например, с использованием ПК «SignMaker», для использования в LirVPN или авторизованного доступа по https и т.д.
В целом ПМ FOX-XCA позволяет:
- генерировать ключевые пары (ГОСТ 3410-2012, ГОСТ3410-2001, RSA, DSA);
)
- формировать и хранить запросы на сертификаты, в том числе на квалифицированные
сертификаты, в формате PKCS#10, просматривать запросы;
)
- выдавать, просматривать, отзывать и переиздавать сертификаты;
)
- формировать списки отозванных
сертификатов;
- импортировать и экспортировать запросы, ключи, сертификаты (в том числе и защищенном контейнере PKCS#12), цепочки сертификатов, списки отозванных сертификатов:
)
)
ПМ FOX-XCA функционирует под управлением операционных систем MS Windows, Linux, OS X и других; поддерживает стандарты X.509 v.3, PKCS#5, PKCS#7 PKCS#8, PKCS#10, PKCS#12 и российскую криптографию (ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13.2015, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012).
Дополнительные материалы:
- XCA – удостоверяющий центр уровня предприятия или сага о русских и немецких программистах
- Скачать документацию
