Какой удостоверяющий центр сертификации выбрать?

Question

[Ринат Бакиев]

Всем привет!

Есть задача организовать УЦ для некоммерческой корпоративной организации в России. Подскажите, пожалуйста, какие есть open source решения или коммерческие, но не с выпуском подписи в 500 рублей за ЭЦП.

Comments

[Ринат Бакиев]

Некоммерческая корпоративная организация - это организация состоящая из членов. Членов может быть 1000 с разными ОС.

[CityCat4]

Ринат Бакиев, Да хоть мильен. В корпоративном CA Вы сами решаете сколько Вам сертификатов выпускать. Просто доверия к ним вне конторы не будет. Да и внутри понадобится расставить корневой CA.
Перед началом выпуска решаются некоторые вопросы:
- Кто адмниит CA, у кого хранится пароль от ключа корневого CA, где и как (в винде это автоматом - админит админ домена, в openssl админит тот, у кого пароль :) )
- Создаются ли подчиненные CA (крупные CA обычно не выпускают конечные сертификаты корнем - они создают субCA, в которых выпускают конечные сертфиикаты)
- Какие типы сертфиикатов будет выпускать CA (и соответственно создать шаблоны, зарегить и прописать OID-ы если надо)
- Где будет располагаться CRL (если сертификаты будут использоваться на мобильных устройствах - обязательно нужен доступный извне CRL distribution point)
- Какая информация будет вноситься в сертфиикат (CN должно быть уникальным, поэтому лучше предусмотреть одно лишнее поле, чтобы было куда вписать)
- Банальные технические вопросы о типе и длине хэша, сроке действия по умолчанию сертфииката и CRL

[CityCat4]

Ринат Бакиев, А собственно создание CA - это определение его структуры, генерация корневого ключа и выпуск сертификатов субCA, если надо. И все (правила выпуска - что выпускаем, кому, зачем, какими шаблонами) - должны быть уже определены.

Например, у меня субCA выпускает сертификаты по шаблонам ssl_server, ssl_client, ipsec_server, ipsec_client, v3_ca. То есть это обычный веб-сервер, клиентский сертификат устройства (нужен для sendmail и других программ, которые могут инициировать соединения), IPSec сервер и клиент (последним никогда не пользовался) и субCA.

Людям - у меня выпускает другой субCA

Answer 1

[CityCat4]

Мне неизвестны ни OSS решения, ни коммерческие. CA - это не решение. CA - это авторитет :) Если у Вас сеть на винде - есть оснастка "Служба сертификатов" - служба ставится (на AD сервер), запускается, генерится корневой сертификат - и вперед, выпускать. Но предварительно естественно всем, кто будет пользоваться Вашими сертификатами - нужно поставить Ваш корневой в доверенные.
Вот это и есть самая большая проблема. Потому что если Вы планируете корпоративный CA - Вы это запросто сделаете. А если общедоступный - он будет никому не нужен, потому что никто его не знает.

Вообще Вы слишком мало написали для ответа. Сертификаты - тема серьезная, мало кому понятная. Если что - мыло в профиле, могу поделиться набором скриптов (которые собственно и есть CA :)), которыми рулю конторским CA. Но скрипты для линуха (к сожалению, нормально вести CA для выпуска почтовых сертификатов, то есть сертификатов для использования в MS Outlook и прочих почтовых клиентах, без стороннего софта нельзя)

Comments

[Ринат Бакиев]

Так вроде же указал, что корпоративный...

[CityCat4]

Ринат Бакиев, Ну добро. Для чего сертификаты - для почты, для идентификации, для веба? Людям или серверам? Или и тем и другим? Есть ли в конторе единая точка управления, чтобы корневой CA всем расставить?
Фактически - CA это файлы: openssl.conf, index.txt, index.txt.attr и serial - если пользоваться встроенными фичами openssl. Или оснастка винды, если пользоваться виндовой Службой сертификатов. Но для почты ее использовать сложно - юзер может перейти с компа на комп, винда дохнет - а выпуск сертификата только на винде делается так, что ключ с компа не вытащить (и в итоге вся шифрованная почта превращается в тыкву). Шаблонами в оснастке управлять сложно, срок действия не задать, поэтоиу я предпочитаю банальный текстовый конфиг на openssl.

Answer 2

[Zolg]

Если речь о выборе ПО удостоверяющего центра, то посмотрите на Hashicorp Vault. Умеет много чего. УЦ реализуется компонентом PKI Secrets Engine.

Answer 3

[АртемЪ]

Есть задача организовать УЦ для некоммерческой корпоративной организации в России.

Отлично, но в чем проблема?

Подскажите, пожалуйста, какие есть open source решения или коммерческие

Чего решения? Сертификат и подпись сформировать? Так это делается встроенными системными утилитами в любой современной ОС.

но не с выпуском подписи в 500 рублей за ЭЦП.

??? Выпуск сертификата абсолютно бесплатен, я могу прям сейчас сгенерировать пару тысячь сертификатов, и это не обойдется мне ни копейки.

Comments

[Ринат Бакиев]

А вы не пробовали рассматривать вопрос как бы в целом? Зачем вы по отдельности рассматриваете предложения?

[АртемЪ]

Ринат Бакиев, Вопрос в целом не имеет смысла вообще.
В заголовке вы вроде хотите выбрать УЦ - его выбирают из тех кому доверяет все заинтересованные.
Потом вопрос про то как организовать УЦ - ну деятельность УЦ организовывается точно так же как и деятельность других организаций, например булочной, при чем тут опенсорс и какие вам вообще решения нужны решительно непонятно.

УЦ это организация, гарантирующая что данные на сертификате совпадают с данными лица, которому выдан сертификат.

[Ринат Бакиев]

АртемЪ, какой еще выбрать? Какой еще УЦ это организация?! Если вы считаете, что УЦ это организация, то почему тогда называется "Программно-аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» "? ))) Хотите дословный перевод - то нужен центр сертификации. Не в полном понимании слова "центр" и т.п.

[АртемЪ]

Ринат Бакиев,

почему тогда называется "Программно-аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» "?

Потому что организация КриптоПро занимающаяся выпуском софта, в области криптографии, создала программно аппаратный комплекс, и назвала его так.

Какой еще УЦ это организация?

Удостоверяющий центр это организация которая выдает сертификаты и ключи эл. подписи.
Создать сертификат может любой человек за несколько секунд, если у него есть компьютер.
А задача Удостоверяющего центра - удостоверить что сертификат на имя Иванова Ивана выдан именно Иванову Ивану, и никому другому.
Удостоверяющий центр удостоверяет личность человека которому выдан сертификат.

хотите дословный перевод - то нужен центр сертификации.

Вам нужна инструкция как настроить центр сертификации? Windows? Linux? Под какой ос будет настраивать?
Они по разному настраиваются в разных операционных системах.