Описание продукта (программы)

Рисунок ниже иллюстрирует стандартную архитектуру продукта Avanpost PKI:

В состав продукта входят следующие компоненты:

• Серверные компоненты:
  • Веб-приложение Avanpost PKI - предоставляет веб-интерфейс администраторам и пользователям системы в части настройки и управления, личный кабинет в части самообслуживания;
  • Служба Avanpost PKI Server - реализует бизнес-логику системы, логику обработки запросов и электронных заявок, управления жизненным циклом субъектов и объектов, содержит подсистему адресных книг, коннекторов и плагинов для взаимодействия с УЦ и внешними информационными системами;
  • База данных Avanpost PKI - является хранилищем всех данных системы;
  • Адресные книги, Коннекторы, Плагины - модули сопряжения Avanpost PKI с различными внешними информационными системами: УЦ, источниками данных о субъектах, потребителями информации о выпускаемых сертификатах;
  • Интеграционный шлюз Avanpost PKI - представляет собой веб-приложение, предоставляющее REST API системы для интеграции с различными внешними информационными системами;
• Клиентские компоненты:
  • Avanpost PKI Agent - программный компонент, работающий в фоновом режиме на АРМ Пользователя/Администратора и реализующий взаимодействие с ключевыми носителями и криптографическими провайдерами;

Назначение Avanpost PKI

Система Avanpost PKI предназначена для решения следующих основных задач:

• Централизованное управление ключевыми носителями в течение всего жизненного цикла:
  • Инициализация;
  • Ввод в эксплуатацию/выдача;
  • Вывод из эксплуатации;
• Централизованное управление сертификатами в течении всего жизненного цикла:
  • Создание и согласование заявлений и запросов на сертификаты;
  • Выпуск сертификатов;
  • Приостановка и возобновление действия сертификатов;
  • Отзыв сертификатов;
• Централизованное управление лицензиями на средства криптографической защиты информации в течении всего жизненного цикла:
  • Создание и согласование заявлений на обеспечение лицензиями на средства криптографической защиты информации;
  • Ввод в эксплуатацию/выдача;
  • Вывод из эксплуатации;
• Предоставление интерфейса самообслуживания пользователей для решения задач управления ключевыми носильными, сертификатами и лицензиями на средства криптографической защиты информации;
• Централизованный учет ключевых носителей;
• Централизованный учет выданных сертификатов;
• Централизованный учет лицензий на средства криптографической защиты информации;
• Централизованный учет автоматизированных рабочих мест, на которых осуществляется эксплуатация средств криптографической защиты информации;
• Автоматический контроль сроков действия сертификатов;
• Автоматический контроль статусов субъектов (пользователей и информационных систем) и закрепленных за ними объектов инфраструктуры открытых ключей (сертификатов, ключевых носителей и лицензий на средства криптографической защиты информации);
• Ведение журналов событий, связанных с эксплуатацией ключевых носителей, сертификатов и лицензий на средства криптографической защиты информации;
• Генерация сопроводительных документов и отчетов по формам, соответствующим требованиям регуляторов.

Основные функции компонентов Avanpost PKI

Веб-приложение Avanpost PKI

Веб-приложение Avanpost PKI предоставляет администраторам и пользователям основной интерфейс для работы в системе. Логически интерфейс разделен на пользовательскую часть - личный кабинет и административную часть.

Основные функции личного кабинета:

1. Просмотр перечня собственных сертификатов;
2. Просмотр перечня собственных ключевых носителей;
3. Печать ПИН-кода Пользователя для собственного ключевого носителя;
4. Разблокировка собственного ключевого носителя;
5. Создание электронных заявок на себя (на выпуск сертификатов, на перевыпуск сертификатов, на отзыв сертификатов, на регистрацию ключевых носителей и т.д. в зависимости от перечня доступных типов электронных заявок);
6. Участие в бизнес-процессах обработки электронных заявок (принятие решений, выполнение заданий и задач в зависимости от настроек бизнес-процессов и их этапов)

Дополнительно для владельцев ИС личный кабинет предоставляет следующие функции:

1. Просмотр перечня сертификатов собственных ИС;
2. Получение сертификата собственной ИС в формате .cer;
3. Получение сертификата и ключа собственной ИС в формате .pfx;
4. Просмотр перечня ключевых носителей собственных ИС;
5. Печать ПИН-кода Пользователя для ключевого носителя собственной ИС;
6. Разблокировка ключевого носителя собственной ИС;
7. Создание электронных заявок на собственные ИС (на выпуск сертификата для ИС, на перевыпуск сертификата для ИС и т.д. в зависимости от перечня доступных типов электронных заявок)

Основные функции административного интерфейса:

Функции административного интерфейса могут быть разделены между различными типами привилегированных пользователей или администраторов в зависимости от требований конкретных бизнес-процессов и инсталляций. Ниже приведен общий перечень функций.

1. Настройка системы:
   1. Настройка политик ПИН-кодов;
   2. Настройка ролей и доступа;
   3. Настройка виртуальных носителей;
   4. Настройка адресных книг;
   5. Настройка УЦ;
   6. Настройка токенов;
   7. Настройка скриптов;
   8. Настройка приложений;
   9. Настройка шаблонов сертификатов;
   10. Настройка шаблонов атрибутов сертификатов;
   11. Настройка шаблонов объектов;
   12. Настройка шаблонов email-рассылок и email-рассылок;
   13. Редактирование справочников;
2. Управление структурой и субъектами:
   1. Создание, просмотр и редактирование Центров регистрации;
   2. Создание, просмотр и редактирование Компаний;
   3. Создание, просмотр и редактирование Сотрудников;
   4. Создание, просмотр и редактирование ИС;
3. Управление сертификатами:
   1. Создание запросов на сертификаты для сотрудников и ИС;
   2. Импорт сертификатов;
   3. Рассмотрение запросов на сертификаты (одобрение - выпуск или отклонение);
   4. Установка выпущенных сертификатов на ключевые носители;
   5. Восстановление сертификатов и ключей из дубликатов;
   6. Приостановка и возобновление действия сертификатов;
   7. Отзыв сертификатов;
   8. Управление автоматическим восстановлением сертификатов на ключевых носителях;
   9. Получение сертификата в формате .cer;
   10. Получение сертификата и ключа в формате .pfx;
   11. Просмотр истории по сертификату;
   12. Публикация сертификата во внешнюю систему;
   13. Просмотр сопроводительных документов;
4. Управление ключевыми носителями:
   1. Учет новых ключевых носителей;
   2. Форматирвоание;
   3. Смена ПИН-кодов;
   4. Разблокировка;
   5. Закрепление/откреплении за сотрудником или ИС;
   6. Просмотр журнала истории по ключевому носителю;
   7. Печать ПИН-кодов;
   8. запись произвольных объектов на ключевой носитель;
   9. Установка требования на смену ПИН-кода пользователя;
   10. Управление статусом ключевого носителя;
5. Управление лицензиями:
   1. Создание новой лицензии;
   2. Закрепление/откреплении за сотрудником или ИС;
   3. Удаление лицензии;
   4. Просмотр журнала истории по лицензии;
   5. Загрузка дистрибутива лицензии из системы;
6. Управление АРМ:
   1. Создание, просмотр и редактирование АРМ;
   2. Удаление АРМ;
   3. Закрепление/открепление владельцев АРМ;
   4. Закрепление/открепление лицензий за АРМ;
   5. Удаленная блокировка/разблокировка СКЗИ на АРМ;
7. Управление Агентами:
   1. Просмотр перечня активных Агентов;
   2. Удаленное отключение Агентов;
   3. Установка уровня логирования для Агента;
   4. Загрузка лог-файлов Агента;
8. Управление отложенными задачами:
   1. Просмотр перечня задач;
   2. Отмена ожидающих выполнения задач;
   3. Просмотр ошибок выполнения задач;
9. Электронные заявки:
   1. Создание электронных заявок на других сотрудников (на выпуск сертификатов, на перевыпуск сертификатов, на отзыв сертификатов, на регистрацию ключевых носителей и т.д. в зависимости от перечня доступных типов электронных заявок);
   2. Участие в бизнес-процессах обработки электронных заявок (принятие решений, выполнение заданий и задач в зависимости от настроек бизнес-процессов и их этапов);
10. Отчеты:
    1. Построение отчетов;

Служба Avanpost PKI Server

Служба Avanpost PKI Server является ядром системы и реализует всю бизнес-логику системы. В перечень функций службы Avanpost PKI Server входят:

1. Обработка запросов от всех компонентов системы;
2. Взаимодействие с базой данных;
3. Взаимодействие с Агентами;
4. Управление жизненным циклом субъектов и объектов;
5. Управление бизнес-процессами обработки электронных заявок;
6. Взаимодействие с внешними системами - источниками данных о сотрудниках с использованием адресных книг;
7. Взаимодействие с УЦ с использованием коннекторов к УЦ;
8. Взаимодействие с внешними системами в части публикации данных о выпущенных сертификатах с использованием плагинов публикации;
9. Рассылка почтовых уведомлений

Avanpost PKI Agent

Avanpost PKI Agent предназначен для взаимодействия системы с ключевыми носителями и криптографическими провайдерами непосредственно на рабочих местах (компьютерах) администраторов и пользователей.

Основные функции Avanpost PKI Agent:

1. Мониторинг подключенных к компьютеру ключевых носителей;
2. Форматирование ключевых носителей;
3. Проверка и смена ПИН-кодов ключевых носителей (как по требованию политики ПИН-кодов, так и по желанию пользователя);
4. Разблокировка ключевых носителей;
5. Генерация ключевой пары и создание запроса на сертификат;
6. Установка сертификата на ключевой носитель;
7. Установка сертификата и ключа (восстановление) на ключевой носитель;
8. Удаление сертификата и ключа с ключевого носителя;
9. Запись и обновление произвольных объектов на ключевые носители (профили VDI, профили VPN и т.д.);

Некоторые из перечисленных функций могут быть не доступны для определенных видов ключевых носителей в силу ограничений производителя или неприменимости функций.

Адресная книга

Адресная книга представляет собой подключаемую библиотеку, реализующую программный интерфейс IPersonAddressBook Avanpost PKI и служит для обеспечения взаимодействия Avanpost PKI Server с внешней системой - источником данных о субъектах сертификатов (сотрудниках) с целью информации о субъектах сертификатов в Avanpost PKI.

Основные функции Адресной книги:

1. Поиск субъекта;
2. Получение всех субъектов;
3. Получение субъекта по идентификатору;
4. Проверка соединения с внешней системой;
5. Получение параметров конфигурации

Коннектор к УЦ

Коннектор к УЦ представляет собой программный модуль, реализующий интерфейс ICA Avanpost PKI и служит для обеспечения взаимодействия Avanpost PKI Server с программными компонентами удостоверяющих центров (УЦ) с целью управления жизненным циклом сертификатов.

Основные функции коннектора к УЦ:

1. Выпуск сертификата;
2. Отзыв сертификата;
3. Приостановка действия сертификата;
4. Возобновление действия сертификата;

Некоторые из перечисленных функций могут быть не доступны для определенных видов УЦ в силу ограничений производителя или неприменимости функций.

Плагин публикации

Плагин публикации представляет собой подключаемую библиотеку, реализующую программный интерфейс ICertificatePublisher Avanpost PKI и служит для обеспечения взаимодействия Avanpost PKI Server с внешними информационными системами с целью публикации информации о выпущенных сертификатах.

Основные функции плагина публикации:

1. Передача во внешнюю ИС информации о выпущенном сертификате;
2. Передача во внешнюю ИС информации о необходимости удаления (деактивации) сертификата;

Интеграционный шлюз Avanpost PKI

Задачей Интеграционного шлюза Avanpost PKI является обеспечение потребностей интеграции с Avanpost PKI со стороны внешних информационных систем. Он предоставляет REST API для использования внешними системами и приложениями.

Интеграционный шлюз Avanpost PKI реализует следующие сервисы и функции:

1. Сервис управления субъектами:
   1. Создание и изменение Компаний;
   2. Создание и изменение Сотрудников;
   3. Поиск Центров регистрации, Компаний и Сотрудников;
2. Сервис управления запросами на сертификаты и сертификатами:
   1. Регистрация нового запроса на сертификат (импорт запроса) для Сотрудника;
   2. Получение выпущенного сертификата;
   3. Поиск сертификатов Сотрудников;
   4. Получение списка доступных Шаблонов приложений

Вложения