Avanpost CA (Certification Authority) - центр сертификации, обеспечивающий функции для управления цифровыми сертификатами в соответствии с принципами PKI и X.509
Avanpost CA может применяться в инфраструктурах для решения основных задач:
- Реализация механизмов доверия и цепочек PKI как в открытых, так и в корпоративных сетях
- Обеспечение работы PKINIT для Kerberos
- Поддержка современных систем идентификации и аутентификации на базе 802.1X
- Взаимное подтверждение подлинности цифровых сервисов в современных инфраструктурах (SSL/TLS, mTLS)
- Защита электронной почты (S/MIME)
Структура Avanpost CA
С физической точки зрения Avanpost CA состоит из следующих компонент:
- приложение CA
- база данных CA
С логической точки зрения Avanpost CA состоит из следующих компонент:
- основной сервис (ядро)
- сервис выпуска сертификатов
- сервис валидации сертификатов
- интерфейсы стандартных интеграций
- интерфейс администрирования
- сервисы обеспечения безопасности и мониторинга
На рисунке ниже схематично отражена концептуальная архитектура Avanpost CA
Технологическая платформа
Avanpost CA разработан на языке программирования Go (golang)
Поддерживаемые операционные системы:
- Astra Linux SE
- Альт Сервер
- RedOS
- CentOS Stream / RHEL
- Ubuntu
- прочие linux-дистрибутивы
Поддерживаемые СУБД:
- PostgreSQL
- Postgres Pro
- Tantor
- прочие версии postgres
Основные функции Avanpost CA
Управление сертификатами:
- выпуск новых сертификатов
- продление (перевыпуск) сертификатов
- приостановка / возобновление действия сертификатов
- отзыв сертификатов
- публикация сертификатов
- поддержка работы с запросами: одобрение / отклонение
Валидация запросов и сертификатов:
- проверка запроса на соответствие шаблону
- создание и публикация CRL
- поддержка протокола OCSP
Управление шаблонами:
- создание / редактирование шаблонов сертификатов
- поддержка основных характеристик: длина ключа, срок действия, key usage
- поддержка дополнительных характеристик: EKU
- поддержка ACL (Access Control List) для шаблонов
- редактирование справочника EKU
Интеграционные интерфейсы / сервисы Avanpost CA
Avanpost Linux Enrollment Service
Набор сервисов и механизмов, обеспечивающих функции автоматического выпуска и обновления (autoenrollment) сертификатов для компьютеров и серверов под управлением ОС семейства Linux. Дополнительно поддерживает возможность интеграции со службой каталогов Avanpost DS и функции централизованного управления выпуском и обновлением сертификатов через доменные политики и разграничение доступа к шаблонам сертификатов по доменным группам безопасности
SCEP (Simple Certificate Enrollment Protocol)
Сервис для автоматизации выпуска сертификатов для компьютеров и устройств под управлением MacOS и iOS (через промежуточные MDM-системы: Jamf, AirWatch, MobileIron, MS Intune и т.д.) а также для сетевых устройств и оборудования Cisco
MS-WSTEP (CEP / CES)
Набор сервисов (CEP - сервис политик, CES - сервис выпуска сертификатов) для поддержки протокола Microsoft WS-Trust X.509v3 Token Enrollment Extensions. Он дает возможность полностью заместить функции автоматического выпуска и обновления (autoenrollment) сертификатов для компьютеров и серверов под управлением MS Windows;
REST API CA
Полный набор методов для взаимодействия с CA в части выпуска и валидации сертификатов. Подходит как для интеграции с внешними системами (PKI, ITSM и т.д.), так и для использования в скриптах / сценариях автоматизации