Удостоверяющий Центр

[Blondin]

Добрый день.

Моя организация имеет развернутую сеть ViPNet. Координатор, отдельная машина, Администратор (ЦУС+УКЦ) отдельная машина, 50 ViPNet Клиентов. Планируется подключение порядка 120 клиентов к имеющейся сети + генерация 3-5 ЭЦП для каждого из 120 клиентов. Какое ПО мне необходимо добавить в имеющуюся сеть для развертывания УЦКУ? ViPNet Registration Point, ViPNet Cервис публикации?

[Echo]

Добрый день.

Моя организация имеет развернутую сеть ViPNet. Координатор, отдельная машина, Администратор (ЦУС+УКЦ) отдельная машина, 50 ViPNet Клиентов. Планируется подключение порядка 120 клиентов к имеющейся сети + генерация 3-5 ЭЦП для каждого из 120 клиентов. Какое ПО мне необходимо добавить в имеющуюся сеть для развертывания УЦКУ? ViPNet Registration Point, ViPNet Cервис публикации?

По вопросам выбора и приобретения ПО рекомендую обратиться в коммерческий отдел soft@infotecs.ru

Или сделайте запрос через вебформу сайта https://infotecs.ru/solutions/request.php

[slavanchuk]

Добрый день.

Моя организация имеет развернутую сеть ViPNet. Координатор, отдельная машина, Администратор (ЦУС+УКЦ) отдельная машина, 50 ViPNet Клиентов. Планируется подключение порядка 120 клиентов к имеющейся сети + генерация 3-5 ЭЦП для каждого из 120 клиентов. Какое ПО мне необходимо добавить в имеющуюся сеть для развертывания УЦКУ? ViPNet Registration Point, ViPNet Cервис публикации?

Если вы планируете просто выдавать ЭЦП, то нужно покупать для каждого VipNet CryptoService. Если вы хотите помимо ЭЦП иметь защищённый канал и деловую почту, то Вам потребуются новые VipNet Client для каждого абонента. Registration Point нужен для того, чтобы выдавать ЭЦП в удалённых от УКЦ местах (своими сотрудниками или сторонней организацией) Publication Service нужен для того, чтобы публиковать список сертификатов и СОС на FTP, сайт, Active Directory автоматическим образом. В принципе, это можно делать и без этого компонента вручную или при помощи самописных скриптов. Для того, чтобы снизить нагрузку на основной координатор, то можно докупить кластеров или просто координаторов. Если каждому клиенту нужно несколько ЭЦП (несколько пользователей на одном рабочем месте), то нужно будет докупать лицензии, так как по умолчания на одном абонентском пункте можно иметь только двух пользователей.

[rasul]

Если каждому клиенту нужно несколько ЭЦП (несколько пользователей на одном рабочем месте), то нужно будет докупать лицензии, так как по умолчания на одном абонентском пункте можно иметь только двух пользователей.

Значит, если к примеру имеется 75 лицензий на клиентов, то математика такова, что можно подключить 150 пользователей по 2 на каждый АП ?

[slavanchuk]

Значит, если к примеру имеется 75 лицензий на клиентов, то математика такова, что можно подключить 150 пользователей по 2 на каждый АП ?

Почти. Лицензии на VipNet продаются из расчёта - на каждый абонентский пункт по два пользователя. Этих пользователей можно перераспределять. То есть, на одном абонентском пункте может быть более двух пользователей, а какой-то пункт останется без дополнительного пользователя. Наверное, если необходимо больше пользователей, то нужно разговаривать с коммерческим отделом Инфотекс. По крайней мере, это стандартное ограничение в лицензии.

[Blondin]

По вопросам выбора и приобретения ПО рекомендую обратиться в коммерческий отдел soft@infotecs.ru

Или сделайте запрос через вебформу сайта https://infotecs.ru/solutions/request.php

Я вижу мой вопрос не понятен. Я спросил какое ПО мне необходимо с технической стороны для развертывания УЦКУ?

[slavanchuk]

Я вижу мой вопрос не понятен. Я спросил какое ПО мне необходимо с технической стороны для развертывания УЦКУ?

УЦКУ - это программно-техническое решение от Инфотекс. Вам же требуется просто развернуть корпоративный удостоверяющий центр (насколько я понял). На Ваш вопрос я ответил выше. Кстати говоря, техническое решение также зависит от того, какой уровень криптографической защиты Вам нужен! Например, если нужно соответствовать уровню КС1, то достаточно VipNet Client, а если нужно соответствовать уровню КС2, то нужно на координаторы и клиенты ставить АПКМДЗ "Соболь". Для уровня криптозащиты КС3 требования ещё выше. Также при уровне защиты КС3 внедрение средств шифрования осуществляется при участии ФСБ.

[Echo]

Я вижу мой вопрос не понятен. Я спросил какое ПО мне необходимо с технической стороны для развертывания УЦКУ?

Ваш вопрос понятен, непонятна постановка процесса работы. И тут может быть множество нюансов - от требований регулятора и Вашего желания получить сертифицированную версию и до описания регламента работы. Какое-то ПО может потребоваться, какое-то нет.

И не для форума эта тема...

Поэтому я еще раз рекомендую обратиться в коммерческий отдел, там скажут, исходя из постановки Вами задачи, какой софт Вам нужен.

А вот по функциям - пожалуйста.

1. Минимальный состав любой ViPNet-сети - Администратор, Координатор-Клиент

2. Для использования ЭЦП требуется на каждое рабочее место софт ViPNet Криптосервис или ViPNet CSP. Это если Вам надо работать с ЭЦП во внешних приложениях типа MS Office.

3. Функции ЭЦП и криптопровайдера также есть в ПО ViPNet Клиент, но не в полном объеме.

4. Центр Регистрации фактически выносной модуль Администратора для регистрации узлов-абонентов сети ViPNet и единственный способ регистрации "внешних" пользователей (то есть они получают только контейнер с ЭЦП)

5. Сервис публикации - средство публикации сертификатов (пользовательских, СОС) на точке доступа для использования другими УЦ или пользователями.

Также опрашивает точки распространения других УЦ и забирают с них свежие СОС.

6. Как правильно заметил уважаемый slavanchuk, на каждый узел сети ViPNet автоматом выдается по 2 лицензии на абонентов.

[slavanchuk]

Ваш вопрос понятен, непонятна постановка процесса работы. И тут может быть множество нюансов - от требований регулятора и Вашего желания получить сертифицированную версию и до описания регламента работы. Какое-то ПО может потребоваться, какое-то нет.

И не для форума эта тема...

Поэтому я еще раз рекомендую обратиться в коммерческий отдел, там скажут, исходя из постановки Вами задачи, какой софт Вам нужен.

А вот по функциям - пожалуйста.

1. Минимальный состав любой ViPNet-сети - Администратор, Координатор-Клиент

2. Для использования ЭЦП требуется на каждое рабочее место софт ViPNet Криптосервис или ViPNet CSP. Это если Вам надо работать с ЭЦП во внешних приложениях типа MS Office.

3. Функции ЭЦП и криптопровайдера также есть в ПО ViPNet Клиент, но не в полном объеме.

4. Центр Регистрации фактически выносной модуль Администратора для регистрации узлов-абонентов сети ViPNet и единственный способ регистрации "внешних" пользователей (то есть они получают только контейнер с ЭЦП)

5. Сервис публикации - средство публикации сертификатов (пользовательских, СОС) на точке доступа для использования другими УЦ или пользователями.

Также опрашивает точки распространения других УЦ и забирают с них свежие СОС.

6. Как правильно заметил уважаемый slavanchuk, на каждый узел сети ViPNet автоматом выдается по 2 лицензии на абонентов.

Кстати, как я понимаю, на одном рабочем месте можно подружить VipNet CSP и VipNet Client таким образом, чтобы VipNet Client обновлял файлы, содержащие ключи и подпись, а использовать весь функционал криптопровайдера можно через VipNet CSP. Как-то такие эксперименты проводил. Даже что-то работающее получалось. Только в данном случае не приходится говорить о сертифицированном решении. Как я понимаю, VipNet CSP является просто бесплатным продуктом и не сертифицируется?

[Stratos]

slavanchuk

небольшое дополнение - ViPNet CSP будет сертифицирован... в скором времени....

[supilot]

А вот по функциям - пожалуйста.

1. Минимальный состав любой ViPNet-сети - Администратор, Координатор-Клиент

...

Можно ли использовать УКЦ в таком минимальном составе сети для поддержки структуры PKI, в которую входят "внешние" пользователи? Оные внешние пользователи используют своего криптопровайдера и хотят передать запрос в УКЦ Администратора на сертификат ЭЦП. Их мало - 5 штук.

[slavanchuk]

Можно ли использовать УКЦ в таком минимальном составе сети для поддержки структуры PKI, в которую входят "внешние" пользователи? Оные внешние пользователи используют своего криптопровайдера и хотят передать запрос в УКЦ Администратора на сертификат ЭЦП. Их мало - 5 штук.

Да, можно использовать УКЦ в составе (Администратор с клиентом + координатор) для поддержки структуры PKI. Если вы захотите дилегировать кому-нибудь ещё функции регистрации внешних пользователей, то понадобится N-ое количество registration Point. А если вы хотите поддерживать сайт с актуальными СОС-ами, корневыми сертификатами и списком сертификатов пользователей, то придётся либо писать скрипты, либо публиковать их вручную, либо использовать Publication service. Всё зависит от Ваших потребностей. Но минимум для VipNet сети - это то, что перечислено выше.

[supilot]

Да, можно использовать УКЦ в составе (Администратор с клиентом + координатор) для поддержки структуры PKI. Если вы захотите дилегировать кому-нибудь ещё функции регистрации внешних пользователей, то понадобится N-ое количество registration Point. А если вы хотите поддерживать сайт с актуальными СОС-ами, корневыми сертификатами и списком сертификатов пользователей, то придётся либо писать скрипты, либо публиковать их вручную, либо использовать Publication service. Всё зависит от Ваших потребностей. Но минимум для VipNet сети - это то, что перечислено выше.

Хорошо.

Потребности наши очень ограничены и автоматические публикации точно не понадобятся. В качестве внешних будут 2-3 аппаратных криптошлюза от S-terra и всё. Их можно и вручную обслуживать.

Вопрос как именно разместить запросы на сертификаты от таких пользователей?

[slavanchuk]

Хорошо.

Потребности наши очень ограничены и автоматические публикации точно не понадобятся. В качестве внешних будут 2-3 аппаратных криптошлюза от S-terra и всё. Их можно и вручную обслуживать.

Вопрос как именно разместить запросы на сертификаты от таких пользователей?

Вы имеете ввиду разместить сертификаты на ресурсе или получить от них запросы? Запросы принимаются в письменном виде, согласно регламенту УЦ. Если вы имеете ввиду размещение на сайте, то тут можно либо вручную, либо через скрипт.

[supilot]

Вы имеете ввиду разместить сертификаты на ресурсе или получить от них запросы? Запросы принимаются в письменном виде, согласно регламенту УЦ. Если вы имеете ввиду размещение на сайте, то тут можно либо вручную, либо через скрипт.

Я не имею в виду бумажную волокиту.

Я про размещение запроса на сертификат со стороны внешнего пользователя в УКЦ.

[Echo]

Я не имею в виду бумажную волокиту.

Я про размещение запроса на сертификат со стороны внешнего пользователя в УКЦ.

Запрос на сертификат внешнего пользователя переправляется В УКЦ через Центр регистрации в версии 3.2.1 можно положить запрос в папку и он уйдет в УКЦ.

Если Вам требуется сделать запрос на сертификат через web-форму, то, пожалуйста, отпишите на hotline@infotecs.ru с указанием этой задачи.

[supilot]

Запрос на сертификат внешнего пользователя переправляется В УКЦ через Центр регистрации в версии 3.2.1 можно положить запрос в папку и он уйдет в УКЦ.

Если Вам требуется сделать запрос на сертификат через web-форму, то, пожалуйста, отпишите на hotline@infotecs.ru с указанием этой задачи.

Центра регистрации у нас нет.

[slavanchuk]

Центра регистрации у нас нет.

Кстати, а какой продукт вы планируете использовать на конечных АП: VipNet CSP, Vipnet CryptoService или VipNet client?

P.S. насколько я понимаю, запрос можно положить и напрямую в УКЦ (правда, не пробовал), так как УКЦ является полноценным удостоверяющим центром. Registration Point лишь ПО для делегирования полномочий по регистрации.

[supilot]

Кстати, а какой продукт вы планируете использовать на конечных АП: VipNet CSP, Vipnet CryptoService или VipNet client?

P.S. насколько я понимаю, запрос можно положить и напрямую в УКЦ (правда, не пробовал), так как УКЦ является полноценным удостоверяющим центром. Registration Point лишь ПО для делегирования полномочий по регистрации.

У меня есть два клиента, не входящих в сеть Vipnet - это криптошлюзы VPN CSP Gate с криптопровайдером КриптоПро на борту. Для создания тунеля между ними и нужны сертификаты. К сожалению я не могу заменить их на какие-либо АП Vipnet, вот и ломаю голову - либо как-то имеющимся УКЦ обойтись, либо поднимать УЦ на базе Windows Server либо вообще покупать серификаты на стороне...

[Echo]

У меня есть два клиента, не входящих в сеть Vipnet - это криптошлюзы VPN CSP Gate с криптопровайдером КриптоПро на борту. Для создания тунеля между ними и нужны сертификаты. К сожалению я не могу заменить их на какие-либо АП Vipnet, вот и ломаю голову - либо как-то имеющимся УКЦ обойтись, либо поднимать УЦ на базе Windows Server либо вообще покупать серификаты на стороне...

Нужно:

1. Создать запрос на сертификат в формате PKCS#10 и подсунуть в папку приема запросов внешних сертификатов в Центре регистрации версии 3.2.1

2. Получить обратно заверенный сертификат и сунуть куда надо.

Естественно, в сети ViPNet должен быть Центр Регистрации и он должен быть связан с УКЦ

Как вариант, в версии Администратора 3.2.1 (ее еще нет в релизе) можно проделать то же самое без Центра Регистрации в ручном режиме

По вопросам получения нужной версии Центра регистрации и Администратора обращайтесь в коммерческий отдел soft@infotecs.ru

[supilot]

Я понял. Спасибо.

[slavanchuk]

У меня есть два клиента, не входящих в сеть Vipnet - это криптошлюзы VPN CSP Gate с криптопровайдером КриптоПро на борту. Для создания тунеля между ними и нужны сертификаты. К сожалению я не могу заменить их на какие-либо АП Vipnet, вот и ломаю голову - либо как-то имеющимся УКЦ обойтись, либо поднимать УЦ на базе Windows Server либо вообще покупать серификаты на стороне...

Кстати, если не секрет, то почему нужно получить сертификаты именно через запрос? Почему нельзя создать сертификат и подсунуть их в требуемый продукт?

[supilot]

Кстати, если не секрет, то почему нужно получить сертификаты именно через запрос? Почему нельзя создать сертификат и подсунуть их в требуемый продукт?

Запрос не нужен. Это я случайно на нем зациклился.

Если обойтись без запросов, то УКЦ ведь работает "по указке" ЦУСа. Значит, насколько я понимаю, надо в ЦУСе создать создать для моих CPS VPN Gate'ов некие АП? И, вероятно, их даже не надо регистрировать ни в каких прикладных задачах.

[slavanchuk]

Запрос не нужен. Это я случайно на нем зациклился.

Если обойтись без запросов, то УКЦ ведь работает "по указке" ЦУСа. Значит, насколько я понимаю, надо в ЦУСе создать создать для моих CPS VPN Gate'ов некие АП? И, вероятно, их даже не надо регистрировать ни в каких прикладных задачах.

Да, только без прикладных задач VipNet не даст, наверное, сформировать справочники для узла. Можете зарегистрировать в прикладной задаче (какой-нибудь) и обязательно дайте пользователю на данном АП право подписи. УКЦ создаст ключи и сертификат. Его можно будет экспортировать. Единственное, корневой и СОСы вам также придётся добавлять на ваш VPN Gate (скорее всего).

[supilot]

Да, только без прикладных задач VipNet не даст, наверное, сформировать справочники для узла. Можете зарегистрировать в прикладной задаче (какой-нибудь) и обязательно дайте пользователю на данном АП право подписи. УКЦ создаст ключи и сертификат. Его можно будет экспортировать. Единственное, корневой и СОСы вам также придётся добавлять на ваш VPN Gate (скорее всего).

Вы имеете в виду корневой и СОСы добавлять - вручную? да, тоже так думаю.

А вот наивный вопрос - что считать корневым сертификатом УКЦ?