Blondin Опубликовано 2 Декабря 2010 Жалоба Поделиться Опубликовано 2 Декабря 2010 Добрый день. Моя организация имеет развернутую сеть ViPNet. Координатор, отдельная машина, Администратор (ЦУС+УКЦ) отдельная машина, 50 ViPNet Клиентов. Планируется подключение порядка 120 клиентов к имеющейся сети + генерация 3-5 ЭЦП для каждого из 120 клиентов. Какое ПО мне необходимо добавить в имеющуюся сеть для развертывания УЦКУ? ViPNet Registration Point, ViPNet Cервис публикации? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Echo Опубликовано 2 Декабря 2010 Жалоба Поделиться Опубликовано 2 Декабря 2010 Добрый день. Моя организация имеет развернутую сеть ViPNet. Координатор, отдельная машина, Администратор (ЦУС+УКЦ) отдельная машина, 50 ViPNet Клиентов. Планируется подключение порядка 120 клиентов к имеющейся сети + генерация 3-5 ЭЦП для каждого из 120 клиентов. Какое ПО мне необходимо добавить в имеющуюся сеть для развертывания УЦКУ? ViPNet Registration Point, ViPNet Cервис публикации?По вопросам выбора и приобретения ПО рекомендую обратиться в коммерческий отдел soft@infotecs.ruИли сделайте запрос через вебформу сайта https://infotecs.ru/solutions/request.php Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 2 Декабря 2010 Жалоба Поделиться Опубликовано 2 Декабря 2010 Добрый день. Моя организация имеет развернутую сеть ViPNet. Координатор, отдельная машина, Администратор (ЦУС+УКЦ) отдельная машина, 50 ViPNet Клиентов. Планируется подключение порядка 120 клиентов к имеющейся сети + генерация 3-5 ЭЦП для каждого из 120 клиентов. Какое ПО мне необходимо добавить в имеющуюся сеть для развертывания УЦКУ? ViPNet Registration Point, ViPNet Cервис публикации?Если вы планируете просто выдавать ЭЦП, то нужно покупать для каждого VipNet CryptoService. Если вы хотите помимо ЭЦП иметь защищённый канал и деловую почту, то Вам потребуются новые VipNet Client для каждого абонента. Registration Point нужен для того, чтобы выдавать ЭЦП в удалённых от УКЦ местах (своими сотрудниками или сторонней организацией) Publication Service нужен для того, чтобы публиковать список сертификатов и СОС на FTP, сайт, Active Directory автоматическим образом. В принципе, это можно делать и без этого компонента вручную или при помощи самописных скриптов. Для того, чтобы снизить нагрузку на основной координатор, то можно докупить кластеров или просто координаторов. Если каждому клиенту нужно несколько ЭЦП (несколько пользователей на одном рабочем месте), то нужно будет докупать лицензии, так как по умолчания на одном абонентском пункте можно иметь только двух пользователей. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
rasul Опубликовано 3 Декабря 2010 Жалоба Поделиться Опубликовано 3 Декабря 2010 Если каждому клиенту нужно несколько ЭЦП (несколько пользователей на одном рабочем месте), то нужно будет докупать лицензии, так как по умолчания на одном абонентском пункте можно иметь только двух пользователей.Значит, если к примеру имеется 75 лицензий на клиентов, то математика такова, что можно подключить 150 пользователей по 2 на каждый АП ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Декабря 2010 Жалоба Поделиться Опубликовано 3 Декабря 2010 Значит, если к примеру имеется 75 лицензий на клиентов, то математика такова, что можно подключить 150 пользователей по 2 на каждый АП ?Почти. Лицензии на VipNet продаются из расчёта - на каждый абонентский пункт по два пользователя. Этих пользователей можно перераспределять. То есть, на одном абонентском пункте может быть более двух пользователей, а какой-то пункт останется без дополнительного пользователя. Наверное, если необходимо больше пользователей, то нужно разговаривать с коммерческим отделом Инфотекс. По крайней мере, это стандартное ограничение в лицензии. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Blondin Опубликовано 3 Декабря 2010 Автор Жалоба Поделиться Опубликовано 3 Декабря 2010 По вопросам выбора и приобретения ПО рекомендую обратиться в коммерческий отдел soft@infotecs.ruИли сделайте запрос через вебформу сайта https://infotecs.ru/solutions/request.phpЯ вижу мой вопрос не понятен. Я спросил какое ПО мне необходимо с технической стороны для развертывания УЦКУ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Декабря 2010 Жалоба Поделиться Опубликовано 3 Декабря 2010 Я вижу мой вопрос не понятен. Я спросил какое ПО мне необходимо с технической стороны для развертывания УЦКУ?УЦКУ - это программно-техническое решение от Инфотекс. Вам же требуется просто развернуть корпоративный удостоверяющий центр (насколько я понял). На Ваш вопрос я ответил выше. Кстати говоря, техническое решение также зависит от того, какой уровень криптографической защиты Вам нужен! Например, если нужно соответствовать уровню КС1, то достаточно VipNet Client, а если нужно соответствовать уровню КС2, то нужно на координаторы и клиенты ставить АПКМДЗ "Соболь". Для уровня криптозащиты КС3 требования ещё выше. Также при уровне защиты КС3 внедрение средств шифрования осуществляется при участии ФСБ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Echo Опубликовано 3 Декабря 2010 Жалоба Поделиться Опубликовано 3 Декабря 2010 Я вижу мой вопрос не понятен. Я спросил какое ПО мне необходимо с технической стороны для развертывания УЦКУ?Ваш вопрос понятен, непонятна постановка процесса работы. И тут может быть множество нюансов - от требований регулятора и Вашего желания получить сертифицированную версию и до описания регламента работы. Какое-то ПО может потребоваться, какое-то нет.И не для форума эта тема...Поэтому я еще раз рекомендую обратиться в коммерческий отдел, там скажут, исходя из постановки Вами задачи, какой софт Вам нужен.А вот по функциям - пожалуйста.1. Минимальный состав любой ViPNet-сети - Администратор, Координатор-Клиент2. Для использования ЭЦП требуется на каждое рабочее место софт ViPNet Криптосервис или ViPNet CSP. Это если Вам надо работать с ЭЦП во внешних приложениях типа MS Office.3. Функции ЭЦП и криптопровайдера также есть в ПО ViPNet Клиент, но не в полном объеме.4. Центр Регистрации фактически выносной модуль Администратора для регистрации узлов-абонентов сети ViPNet и единственный способ регистрации "внешних" пользователей (то есть они получают только контейнер с ЭЦП)5. Сервис публикации - средство публикации сертификатов (пользовательских, СОС) на точке доступа для использования другими УЦ или пользователями.Также опрашивает точки распространения других УЦ и забирают с них свежие СОС.6. Как правильно заметил уважаемый slavanchuk, на каждый узел сети ViPNet автоматом выдается по 2 лицензии на абонентов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Декабря 2010 Жалоба Поделиться Опубликовано 3 Декабря 2010 Ваш вопрос понятен, непонятна постановка процесса работы. И тут может быть множество нюансов - от требований регулятора и Вашего желания получить сертифицированную версию и до описания регламента работы. Какое-то ПО может потребоваться, какое-то нет.И не для форума эта тема...Поэтому я еще раз рекомендую обратиться в коммерческий отдел, там скажут, исходя из постановки Вами задачи, какой софт Вам нужен.А вот по функциям - пожалуйста.1. Минимальный состав любой ViPNet-сети - Администратор, Координатор-Клиент2. Для использования ЭЦП требуется на каждое рабочее место софт ViPNet Криптосервис или ViPNet CSP. Это если Вам надо работать с ЭЦП во внешних приложениях типа MS Office.3. Функции ЭЦП и криптопровайдера также есть в ПО ViPNet Клиент, но не в полном объеме.4. Центр Регистрации фактически выносной модуль Администратора для регистрации узлов-абонентов сети ViPNet и единственный способ регистрации "внешних" пользователей (то есть они получают только контейнер с ЭЦП)5. Сервис публикации - средство публикации сертификатов (пользовательских, СОС) на точке доступа для использования другими УЦ или пользователями.Также опрашивает точки распространения других УЦ и забирают с них свежие СОС.6. Как правильно заметил уважаемый slavanchuk, на каждый узел сети ViPNet автоматом выдается по 2 лицензии на абонентов.Кстати, как я понимаю, на одном рабочем месте можно подружить VipNet CSP и VipNet Client таким образом, чтобы VipNet Client обновлял файлы, содержащие ключи и подпись, а использовать весь функционал криптопровайдера можно через VipNet CSP. Как-то такие эксперименты проводил. Даже что-то работающее получалось. Только в данном случае не приходится говорить о сертифицированном решении. Как я понимаю, VipNet CSP является просто бесплатным продуктом и не сертифицируется? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 3 Декабря 2010 Жалоба Поделиться Опубликовано 3 Декабря 2010 slavanchukнебольшое дополнение - ViPNet CSP будет сертифицирован... в скором времени.... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 15 Декабря 2010 Жалоба Поделиться Опубликовано 15 Декабря 2010 А вот по функциям - пожалуйста.1. Минимальный состав любой ViPNet-сети - Администратор, Координатор-Клиент...Можно ли использовать УКЦ в таком минимальном составе сети для поддержки структуры PKI, в которую входят "внешние" пользователи? Оные внешние пользователи используют своего криптопровайдера и хотят передать запрос в УКЦ Администратора на сертификат ЭЦП. Их мало - 5 штук. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 15 Декабря 2010 Жалоба Поделиться Опубликовано 15 Декабря 2010 Можно ли использовать УКЦ в таком минимальном составе сети для поддержки структуры PKI, в которую входят "внешние" пользователи? Оные внешние пользователи используют своего криптопровайдера и хотят передать запрос в УКЦ Администратора на сертификат ЭЦП. Их мало - 5 штук.Да, можно использовать УКЦ в составе (Администратор с клиентом + координатор) для поддержки структуры PKI. Если вы захотите дилегировать кому-нибудь ещё функции регистрации внешних пользователей, то понадобится N-ое количество registration Point. А если вы хотите поддерживать сайт с актуальными СОС-ами, корневыми сертификатами и списком сертификатов пользователей, то придётся либо писать скрипты, либо публиковать их вручную, либо использовать Publication service. Всё зависит от Ваших потребностей. Но минимум для VipNet сети - это то, что перечислено выше. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 16 Декабря 2010 Жалоба Поделиться Опубликовано 16 Декабря 2010 Да, можно использовать УКЦ в составе (Администратор с клиентом + координатор) для поддержки структуры PKI. Если вы захотите дилегировать кому-нибудь ещё функции регистрации внешних пользователей, то понадобится N-ое количество registration Point. А если вы хотите поддерживать сайт с актуальными СОС-ами, корневыми сертификатами и списком сертификатов пользователей, то придётся либо писать скрипты, либо публиковать их вручную, либо использовать Publication service. Всё зависит от Ваших потребностей. Но минимум для VipNet сети - это то, что перечислено выше.Хорошо. Потребности наши очень ограничены и автоматические публикации точно не понадобятся. В качестве внешних будут 2-3 аппаратных криптошлюза от S-terra и всё. Их можно и вручную обслуживать.Вопрос как именно разместить запросы на сертификаты от таких пользователей? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 16 Декабря 2010 Жалоба Поделиться Опубликовано 16 Декабря 2010 Хорошо. Потребности наши очень ограничены и автоматические публикации точно не понадобятся. В качестве внешних будут 2-3 аппаратных криптошлюза от S-terra и всё. Их можно и вручную обслуживать.Вопрос как именно разместить запросы на сертификаты от таких пользователей?Вы имеете ввиду разместить сертификаты на ресурсе или получить от них запросы? Запросы принимаются в письменном виде, согласно регламенту УЦ. Если вы имеете ввиду размещение на сайте, то тут можно либо вручную, либо через скрипт. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 16 Декабря 2010 Жалоба Поделиться Опубликовано 16 Декабря 2010 Вы имеете ввиду разместить сертификаты на ресурсе или получить от них запросы? Запросы принимаются в письменном виде, согласно регламенту УЦ. Если вы имеете ввиду размещение на сайте, то тут можно либо вручную, либо через скрипт.Я не имею в виду бумажную волокиту.Я про размещение запроса на сертификат со стороны внешнего пользователя в УКЦ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Echo Опубликовано 16 Декабря 2010 Жалоба Поделиться Опубликовано 16 Декабря 2010 Я не имею в виду бумажную волокиту.Я про размещение запроса на сертификат со стороны внешнего пользователя в УКЦ.Запрос на сертификат внешнего пользователя переправляется В УКЦ через Центр регистрации в версии 3.2.1 можно положить запрос в папку и он уйдет в УКЦ.Если Вам требуется сделать запрос на сертификат через web-форму, то, пожалуйста, отпишите на hotline@infotecs.ru с указанием этой задачи. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 16 Декабря 2010 Жалоба Поделиться Опубликовано 16 Декабря 2010 Запрос на сертификат внешнего пользователя переправляется В УКЦ через Центр регистрации в версии 3.2.1 можно положить запрос в папку и он уйдет в УКЦ.Если Вам требуется сделать запрос на сертификат через web-форму, то, пожалуйста, отпишите на hotline@infotecs.ru с указанием этой задачи.Центра регистрации у нас нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 16 Декабря 2010 Жалоба Поделиться Опубликовано 16 Декабря 2010 Центра регистрации у нас нет.Кстати, а какой продукт вы планируете использовать на конечных АП: VipNet CSP, Vipnet CryptoService или VipNet client?P.S. насколько я понимаю, запрос можно положить и напрямую в УКЦ (правда, не пробовал), так как УКЦ является полноценным удостоверяющим центром. Registration Point лишь ПО для делегирования полномочий по регистрации. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 17 Декабря 2010 Жалоба Поделиться Опубликовано 17 Декабря 2010 Кстати, а какой продукт вы планируете использовать на конечных АП: VipNet CSP, Vipnet CryptoService или VipNet client?P.S. насколько я понимаю, запрос можно положить и напрямую в УКЦ (правда, не пробовал), так как УКЦ является полноценным удостоверяющим центром. Registration Point лишь ПО для делегирования полномочий по регистрации.У меня есть два клиента, не входящих в сеть Vipnet - это криптошлюзы VPN CSP Gate с криптопровайдером КриптоПро на борту. Для создания тунеля между ними и нужны сертификаты. К сожалению я не могу заменить их на какие-либо АП Vipnet, вот и ломаю голову - либо как-то имеющимся УКЦ обойтись, либо поднимать УЦ на базе Windows Server либо вообще покупать серификаты на стороне... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Echo Опубликовано 17 Декабря 2010 Жалоба Поделиться Опубликовано 17 Декабря 2010 У меня есть два клиента, не входящих в сеть Vipnet - это криптошлюзы VPN CSP Gate с криптопровайдером КриптоПро на борту. Для создания тунеля между ними и нужны сертификаты. К сожалению я не могу заменить их на какие-либо АП Vipnet, вот и ломаю голову - либо как-то имеющимся УКЦ обойтись, либо поднимать УЦ на базе Windows Server либо вообще покупать серификаты на стороне...Нужно:1. Создать запрос на сертификат в формате PKCS#10 и подсунуть в папку приема запросов внешних сертификатов в Центре регистрации версии 3.2.12. Получить обратно заверенный сертификат и сунуть куда надо.Естественно, в сети ViPNet должен быть Центр Регистрации и он должен быть связан с УКЦКак вариант, в версии Администратора 3.2.1 (ее еще нет в релизе) можно проделать то же самое без Центра Регистрации в ручном режимеПо вопросам получения нужной версии Центра регистрации и Администратора обращайтесь в коммерческий отдел soft@infotecs.ru Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 17 Декабря 2010 Жалоба Поделиться Опубликовано 17 Декабря 2010 Я понял. Спасибо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Декабря 2010 Жалоба Поделиться Опубликовано 17 Декабря 2010 У меня есть два клиента, не входящих в сеть Vipnet - это криптошлюзы VPN CSP Gate с криптопровайдером КриптоПро на борту. Для создания тунеля между ними и нужны сертификаты. К сожалению я не могу заменить их на какие-либо АП Vipnet, вот и ломаю голову - либо как-то имеющимся УКЦ обойтись, либо поднимать УЦ на базе Windows Server либо вообще покупать серификаты на стороне...Кстати, если не секрет, то почему нужно получить сертификаты именно через запрос? Почему нельзя создать сертификат и подсунуть их в требуемый продукт? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 17 Декабря 2010 Жалоба Поделиться Опубликовано 17 Декабря 2010 Кстати, если не секрет, то почему нужно получить сертификаты именно через запрос? Почему нельзя создать сертификат и подсунуть их в требуемый продукт?Запрос не нужен. Это я случайно на нем зациклился.Если обойтись без запросов, то УКЦ ведь работает "по указке" ЦУСа. Значит, насколько я понимаю, надо в ЦУСе создать создать для моих CPS VPN Gate'ов некие АП? И, вероятно, их даже не надо регистрировать ни в каких прикладных задачах. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Декабря 2010 Жалоба Поделиться Опубликовано 17 Декабря 2010 Запрос не нужен. Это я случайно на нем зациклился.Если обойтись без запросов, то УКЦ ведь работает "по указке" ЦУСа. Значит, насколько я понимаю, надо в ЦУСе создать создать для моих CPS VPN Gate'ов некие АП? И, вероятно, их даже не надо регистрировать ни в каких прикладных задачах.Да, только без прикладных задач VipNet не даст, наверное, сформировать справочники для узла. Можете зарегистрировать в прикладной задаче (какой-нибудь) и обязательно дайте пользователю на данном АП право подписи. УКЦ создаст ключи и сертификат. Его можно будет экспортировать. Единственное, корневой и СОСы вам также придётся добавлять на ваш VPN Gate (скорее всего). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
supilot Опубликовано 17 Декабря 2010 Жалоба Поделиться Опубликовано 17 Декабря 2010 Да, только без прикладных задач VipNet не даст, наверное, сформировать справочники для узла. Можете зарегистрировать в прикладной задаче (какой-нибудь) и обязательно дайте пользователю на данном АП право подписи. УКЦ создаст ключи и сертификат. Его можно будет экспортировать. Единственное, корневой и СОСы вам также придётся добавлять на ваш VPN Gate (скорее всего).Вы имеете в виду корневой и СОСы добавлять - вручную? да, тоже так думаю.А вот наивный вопрос - что считать корневым сертификатом УКЦ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.