16 октября, вторник 11:25
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Удостоверяющие центры (УЦ)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Удостоверяющие центры (УЦ)

    Коллеги,
    кто юзает УЦ-ы на сертифицированной криптухе? (Т.е. у кого он развернут на территории, кто его поднимал, обслуживает, т.е. выполняет регламентные работы УЦ...выпуск сертификатов, приостановка, возобновление и т.д. и т.п.) вопры есть:
    1.чьи УЦ-ы юзаете, т.е.разработчег хто?
    2.сколько юзверей, т.е. юзверей УЦ..хотя бы порядок (типа до 1000, до 20000)?
    3.как впечатления об эксплуатации?
    4.Скока народу обслуживает сам УЦ?

    Заранее благодарю.

  • #2
    http://cryptopro.ru/cryptopro/products/cc/default.htm Поднят этот УЦ. Поднятием и администрированием занимался сам. Лицензия приобретается в зависимости от предполагаемого количества пользователей. Впечатления так себе, работает конечно, но некоторые загадочные ошибки техподдержка не в состоянии прокомментировать

    Комментарий


    • #3
      medved35-09, сам поднимал такой ) а сколько у тебя юзверей в УЦ?
      а в тех поддержке у них, к сожалению, человека 2 осмысленных, и есть еще один )) но тот не в поддержке - и он супер мозг! )) КриптоПро - это хорошо конечно - но очень дорого (

      Комментарий


      • #4
        пока около сотни.

        Комментарий


        • #5
          medved35-09, паняна-эт нормальные цифры, вообще насколько я знаю сами КриптоПрошнеги, расчитывая рентабильность - говорят, что до 1000 юзверей лучше сертификаты брать у кого-нить, если больше можно жилезяки с софтом покупать-тогда,типо быстро денги отобьютсо.

          Комментарий


          • #6
            xell кто юзает УЦ-ы на сертифицированной криптухе

            Смотря что считать УЦ. Если публичный сервис, торчащий голой задницей в Сеть и принимающий тонны хлама по служебным портам, то я бы не советовал этим заниматься ни при каких обстоятельствах.

            Наши отечественные разработчики кроме виндуса ничего не признают, а защищать IIS стоящий на домен контроллере, я бы лично не взялся.
            /kiv

            Комментарий


            • #7
              Сообщение от Илюха Посмотреть сообщение
              xell
              Смотря что считать УЦ. Если публичный сервис, торчащий голой задницей в Сеть и принимающий тонны хлама по служебным портам, то я бы не советовал этим заниматься ни при каких обстоятельствах.
              ну зачем же так пошло, речь идет о сертифицированных УЦ, у них есть свои требования, формуляры и т.д.

              например, КриптоПро УЦ, и веб-зопой может торчать - и живут, ничего, в том же Тхкоме.
              и опять же Инфотекс-траст, тоже живет и ничего. именно сертифицированные, другие с сертифицированной криптой по определению не могут жить.

              Комментарий


              • #8
                Стандартный CryptoPro CA на базе MS. Ок. 100 пользователей. Каких-то особых сложностей нет, наружу отдается филиалам. Используется в основном для выпуска сертификатов для подписи\шифрования писем совместно с Outlook'ом.
                На нашем скромном кол-ве пользователей УЦ с его обслуживанием справляется пара человек. В принципе, если наплевать на регламентность, то и один может :-)
                Но правильно, по документации должны быть как минимум один администратор УЦ, один оператор (УЦ стандартная поставка)ну и наверняка технический администратор. Можно с сайта криптопры скачать всю документация по продукту...

                Комментарий


                • #9
                  так в итоге все посоветовали человеку КриптоПро?

                  Комментарий


                  • #10
                    Corvax Используется в основном для выпуска сертификатов для подписи\шифрования писем совместно с Outlook'ом.
                    а насколько юридически значима ЭЦП в OutLook, ведь там используются иностранные криптоалгоритмы? Или я ошибаюсь?

                    Комментарий


                    • #11
                      Сообщение от medved35-09 Посмотреть сообщение
                      а насколько юридически значима ЭЦП в OutLook, ведь там используются иностранные криптоалгоритмы? Или я ошибаюсь?
                      Во-первых, используются гостовские алгоритмы (криптопровадйер CryproPro CSP). Во-вторых, это вам нужно с целями определяться. У нас УЦ поднимался исключительно для внутреннего использования.

                      Комментарий


                      • #12
                        Во-первых, используются гостовские алгоритмы (криптопровадйер CryproPro CSP)
                        а можно ссылку прямую на доки по прикручиванию CryptoPro CSP к OutLook плиз?

                        Комментарий


                        • #13
                          Сообщение от xell Посмотреть сообщение
                          Коллеги,
                          кто юзает УЦ-ы на сертифицированной криптухе? (Т.е. у кого он развернут на территории, кто его поднимал, обслуживает, т.е. выполняет регламентные работы УЦ...выпуск сертификатов, приостановка, возобновление и т.д. и т.п.) вопры есть:
                          1.чьи УЦ-ы юзаете, т.е.разработчег хто?
                          2.сколько юзверей, т.е. юзверей УЦ..хотя бы порядок (типа до 1000, до 20000)?
                          3.как впечатления об эксплуатации?
                          4.Скока народу обслуживает сам УЦ?

                          Заранее благодарю.
                          1. Ну, про КриптоПро все знают
                          Недостатков довольно много, но используется в многих местах. Маслов в свое время утверждал, что держит до 5000 пользователей. Правда, начиная с нескольких сотен работать становится реально неудобно.

                          Основное достоинство - интегрируется в AD (а что ему не интегрироваться - он тупо использует MS CA).

                          Основной недостаток - вся логика, связанная с аутентификацией пользователя/админа и принятием решения о выпуске сертификата реализована на RA, который работает на IISе. В свое время сталкивался с тем, что при попытке поставить один из критических патчей от MS RA работать переставал, а выставлять непатченный IIS в открытый пользователям сегмент - брррр.

                          Второй недостаток - хранение сертификатов в MS SQL. Если в нормальном УЦ вы можете искать сертификаты по DN, произвольно комбииируя RDNы (что нормально с точки зрения всех RFC), то в КриптоПро извольте писать RDN ровно в том порядке, в каком они писались при генерации сертификата. При наличии нескольких RA информация хранится в базе данных того RА, к которому был подцеплен АРМ администратора, которой выпустил сертификат (оценпите красоту решения!). Администратор, подцепленный к другому RA этих сертификатов не видит, хотя на CA все они лижат в общей куче.

                          Ощутимо тормозит (из-за связки SOAP-IIS-DCOM). Не умеет делать дифференциальный CRL - только полный.

                          УЦ имеет относительно документированный API, умельцы прикручивают к нему различные сервисы (такие как OCSP и экспорт во внешний LDAP). Криптопро сделал свой OCSP, но по-моему, для его работы нужен доступ по HTTP к самому CA, что не здорово (опять-таки, непатченный IIS).

                          2. RSA Keon с прикрученным CryptoPro CSP, в свое время продвигал Сахаров ("Демос"). Продукт реально удобный - вместо IISа и MS SQL он, если не ошибаюсь, построен на апаче и одном из LDAPов (в той версии, с которой я работал, был, по-моему, нетскейповский LDAP). Благодаря LDAPу свободно держит до миллиона сертификатов, RA и LDAP с сертификатами можно спокойно выставлять в DMZ, никакого критичного функционала в них нет - просто интерфейсная часть.

                          Из сервисов - штатный OCSP-респондер, возможность публиковать полный и дифференциальный CRL во внешних LDAPах (без разницы, в каких, лишь бы поддержиивали стандартные PKIный схемы.

                          Недостатки
                          1. Довольно дорогой
                          2. Не проходил сертификации в ФСБ, хотя для соответствия ФЗ это и не требуется.

                          Внедрений немного, но они есть - наример, в Альфе (http://www.alfabank.ru/about/certification/)

                          3. Baltimore Unicert с прикрученным CryptoPro CSP. Прикручивала Информзащита. Принципиальных отличий от Keon'а не заметил. Достоинства и недостатки те же, но стоит на порядок дороже Keon'а. Про успешные внедрения ничего не слышал.

                          Комментарий


                          • #14
                            Да я, честно говоря, даже и не знаю, какие ссылки давать. CSP 3.0 -- стандартно-"оформленный" криптопровайдер Windows, соответственно любое ПО, пользующееся CryptoAPI Windows может его использовать.

                            Комментарий


                            • #15
                              Corvax, спасибо за беспокойство , нашел уже все необходимое

                              Комментарий


                              • #16
                                Сообщение от medved35-09 Посмотреть сообщение
                                Во-первых, используются гостовские алгоритмы (криптопровадйер CryproPro CSP)
                                а можно ссылку прямую на доки по прикручиванию CryptoPro CSP к OutLook плиз?
                                Там не нужно ничего прикручивать. Ставите CSP, и при генерации ключей он появляется в списках доступных криптопровайдеров.

                                Комментарий


                                • #17
                                  что с TSP? его теперь стараются внедрять все чтобы сделать ЭЦП усовершенствованной и прикрывать свои тылы в случае доведения дела до суда, но аннулированным сертификатом?

                                  Комментарий


                                  • #18
                                    Сообщение от malotavr Посмотреть сообщение
                                    Там не нужно ничего прикручивать. Ставите CSP, и при генерации ключей он появляется в списках доступных криптопровайдеров.
                                    У нас стоит тоже КриптоПро....прадва достаточно глючный - чтоб поставить - нужно извратиться....на одну и ту же машину два раза может не встать...прхиодится еще какие-то файлки в систему прописывать, которые техподдрежка присылала.

                                    У клиентов встретил УЦ от Инфотекса....вроде работает.

                                    Комментарий


                                    • #19
                                      Сообщение от Conspy Посмотреть сообщение
                                      что с TSP? его теперь стараются внедрять все чтобы сделать ЭЦП усовершенствованной и прикрывать свои тылы в случае доведения дела до суда, но аннулированным сертификатом?
                                      Я выдал инфу нпо состоянию на декабрь 2005 года. Версии УЦ с тех пор не менялись. Вопрос TSP меня тогда не волновал.

                                      Тоже, кстати, показательно для отечественных разработчиков. Есть продукт, по которому у потребителя есть существенные замечания, но за трил года не сменился даже младший номер версии.

                                      Комментарий


                                      • #20
                                        Я выдал инфу нпо состоянию на декабрь 2005 года. Версии УЦ с тех пор не менялись. Вопрос TSP меня тогда не волновал.

                                        Тоже, кстати, показательно для отечественных разработчиков. Есть продукт, по которому у потребителя есть существенные замечания, но за трил года не сменился даже младший номер версии.


                                        Нет я вовсе не в этом аспекте спросил.
                                        Я к тому, что многие уже сейчас стараются ставить усовершенствованную ЭЦП, чтобы отвечало главе 2 ФЗ об ЭЦП про условие равнозначности ЭЦП собстенноручной, это реализовано в криптопро еще двумя протоколами OCSP и TSP. Так вот насколько сейчас как вы думаете будут изменяться системы с ЭЦП на УЭЦП. Или игра не стоит свеч?

                                        А по поводу замечаний, я очень не люблю говорить того,чего не знаю и не трогал, но вроде КриптоПро старается учесть замечания и прорабатывает проблемы когда к ним обращаются, программисты что-то их колдуют. Возможно это лишь поверхностное видение.

                                        Комментарий


                                        • #21
                                          Сообщение от Conspy Посмотреть сообщение
                                          Нет я вовсе не в этом аспекте спросил.
                                          Я к тому, что многие уже сейчас стараются ставить усовершенствованную ЭЦП, чтобы отвечало главе 2 ФЗ об ЭЦП про условие равнозначности ЭЦП собстенноручной, это реализовано в криптопро еще двумя протоколами OCSP и TSP. Так вот насколько сейчас как вы думаете будут изменяться системы с ЭЦП на УЭЦП. Или игра не стоит свеч?
                                          В случае с КриптоПро, если чего-то не сделал разработчик, можете сделать вы сами. API УЦ документирован, API ОС, который он использует. документрирован еще лучше. не думаю, что КриптоПро самостоятельно будет вносить какие-то изменения - им незачем.

                                          Сообщение от Conspy Посмотреть сообщение
                                          КриптоПро старается учесть замечания и прорабатывает проблемы когда к ним обращаются, программисты что-то их колдуют. Возможно это лишь поверхностное видение.
                                          Кто б спорил Но базовый дистрибутив остается неизменным, и каждому новому потребителю приходится геморроиться с теме жи самыми проблемами, что и его предшественникам.

                                          Понятно, что проблема не в разработчиках, а в системе сертификации, но факт остается фактом. Та же проблема возникает и сдругими сертифицированными ФСБ продуктами.

                                          Комментарий


                                          • #22
                                            Интересно, а можно ли в качестве удостоверяющего центра использовать стандартный CA микрософта, который совершенно бесплатен, поставить его что плюнуть, а подписывать и шифровать почту, к примеру, можно совершенно без проблем.

                                            Комментарий


                                            • #23
                                              Сообщение от Berrimor Посмотреть сообщение
                                              Интересно, а можно ли в качестве удостоверяющего центра использовать стандартный CA микрософта, который совершенно бесплатен, поставить его что плюнуть, а подписывать и шифровать почту, к примеру, можно совершенно без проблем.
                                              Кстати, да, коллеги, у CA в Windows 2003 Server есть существенные отличия от CA в Windows 2000 Server?

                                              У MS CA в Windows 2000 практически отсутствовал пользователский интерфейс - обычный пользователь мог только создать запрос на выпуск сертификата, скачать сертификат и CRL.

                                              Комментарий


                                              • #24
                                                Сообщение от Berrimor Посмотреть сообщение
                                                Интересно, а можно ли в качестве удостоверяющего центра использовать стандартный CA микрософта, который совершенно бесплатен, поставить его что плюнуть, а подписывать и шифровать почту, к примеру, можно совершенно без проблем.
                                                Он ни разу не бесплатен: стоит ровно стоимость минимального комплекта сервера. Если кому интересно, сертифицированные серверы продаются и стоят рублей на 600 дороже несертифицированных. Работает. Нареканий, кроме ублюдочного интерфейса, нет.
                                                /kiv

                                                Комментарий


                                                • #25
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  У MS CA в Windows 2000 практически отсутствовал пользователский интерфейс - обычный пользователь мог только создать запрос на выпуск сертификата, скачать сертификат и CRL.
                                                  По описанию - отличий от win2k3e нет.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от nremezov Посмотреть сообщение
                                                    По описанию - отличий от win2k3e нет.
                                                    Есть отличие в формате шаблонов сертификатов, точнее в их версии. (В Win2kSrv - Certificate Templates v2, Win2k3 - Certificate Templates v2&v3.)

                                                    Но "на скорость, в общем, не влияет".

                                                    Комментарий

                                                    Пользователи, просматривающие эту тему

                                                    Свернуть

                                                    Присутствует 1. Участников: 0, гостей: 1.

                                                    Обработка...
                                                    X