Общая информация

В случае, когда прямого взаимодействия с УЦ нет или оно невозможно (что актуально при использовании внешних удостоверяющих центров, а так же при наличии дополнительных требований к изоляции подсетей УЦ) Avanpost PKI предоставляет возможность интеграции с УЦ в offline-режиме - с использованием промежуточных папок для обмена информацией с УЦ. Такого вида интеграция представлена в Avanpost PKI в виде отдельного типа УЦ - Offline УЦ.

Интеграционное решение Avanpost PKI с Offline УЦ является однокомпонентным и состоит из коннектора к Offline УЦ:

Коннектор к Offline УЦ - программная библиотека, входящая в состав Avanpost PKI и реализующая программный интерфейс ICA Avanpost PKI. Отвечает за формирование и выгрузку исходящих запросов и команд и чтение выпущенных сертификатов в промежуточной папке обмена

Avanpost PKI выгружает в промежуточную папку обмена запросы на сертификаты и команды на отзыв, приостановку и возобновление действия сертификатов. Для выгруженных запросов Avanpost PKI ожидает появления в промежуточной папке обмены сертификатов, выпущенных по данным запросам. Для команд на отзыв, приостановку и возобновление действия сертификатов обратная связь не ожидается.

Функции интеграционного решения

Основные функции

Интеграционное решение Avanpost PKI с Offline УЦ реализует выполнение следующих основных функций по запросу Avanpost PKI:

Выпуск сертификата;
Отзыв сертификата;
Приостановка действия сертификата;
Возобновление действия сертификата

Выпуск сертификата

Avanpost PKI выгружает в промежуточную папку обмена запрос на сертификат в формате PKCS10. Имя файла формируется по следующему алгоритму:

Если в субъекте запроса на сертификат присутствует Email (E), то он помещается в начало имени файла;
Если в субъекте запроса на сертификат присутствует Common Name (CN), то он помещается вслед за Email с разделителем "_" или в начало имени файла если Email отсутствует;
К имени файла добавляется текущая дата и время в формате "ddMMyyyy_HHmmss" с разделителем "_";
Из получившегося имени файла удаляются все символы, запрещенные ОС Windows для имен файлов;
Если имя файла содержит более 100 символов, то оно сокращается до первых 100 символов

Итоговое имя соответствует шаблону: "Email"_"CN"_"ddMMyyyy_HHmmss".p10

Если в папке исходящих запросов содержится более 5000 файлов, то Avanpost PKI не обработает последующие запросы. Ожидается, что папка исходящих запросов будет очищаться обработчиком этих запросов со стороны УЦ по мере их обработки.

Отзыв сертификата

Avanpost PKI выгружает в промежуточную папку обмена запрос на отзыв сертификата в формате xml-файла. Имя файла формируется по следующему алгоритму: "Серийный номер сертификата"_R.xml

Содержимое xml-файла на отзыв сертификата выглядит следующим образом:

<?xml version="1.0" encoding="utf-8"?>
<RevokeCertificаteCommand>
	<SN>38000000D51D29A92D027CF6330001000000D5</SN>
	<TP>5F038AE53404D0F91A3A00913F40F6E6939CEEDC</TP>
	<RR>0</RR>
	<RD>2020-08-04T20:12:36.9971314+03:00</RD>
	<IK>47320F2C403343415F403830516F70B3818B348C</IK>
</RevokeCertificаteCommand>

SN - серийный номер сертификата;
TP - отпечаток сертификата;
RR - код причины отзыва (если задан);
RD - дата и время отзыва;
IK - идентификатор издателя сертификата (если присутствует, расширение 2.5.29.14)

Приостановка действия сертификата

Avanpost PKI выгружает в промежуточную папку обмена запрос на приостановку действия сертификата в формате xml-файла. Имя файла формируется по следующему алгоритму: "Серийный номер сертификата"_H.xml

Содержимое xml-файла на приостановку действия сертификата выглядит следующим образом:

<?xml version="1.0" encoding="utf-8"?>
<HoldCertificаteCommand>
	<SN>380000004DA060E0B1ED00AEB400000000004D</SN>
	<TP>BD66E74C2752D9FA8036793D36352DADEC266E01</TP>
	<UD>2020-09-09T07:47:22</UD>
</HoldCertificаteCommand>

SN - серийный номер сертификата;
TP - отпечаток сертификата;
UD - дата и время до которого необходимо приостановить сертификат (если задана)

Возобновление действия сертификата

Avanpost PKI выгружает в промежуточную папку обмена запрос на возобновление действия сертификата в формате xml-файла. Имя файла формируется по следующему алгоритму: "Серийный номер сертификата"_UH.xml

Содержимое xml-файла на возобновление действия сертификата выглядит следующим образом:

<?xml version="1.0" encoding="utf-8"?>
<UnholdCertificаteCommand>
	<SN>380000004DA060E0B1ED00AEB400000000004D</SN>
	<TP>BD66E74C2752D9FA8036793D36352DADEC266E01</TP>
</UnholdCertificаteCommand>

SN - серийный номер сертификата;
TP - отпечаток сертификата

Дополнительные функции

Интеграционное решение Avanpost PKI с Offline УЦ поддерживает возможность создания открепленной электронной подписи к любому исходящему запросу. Подпись создается в формате PKCS7 и реализуется с использованием технологического сертификата подписи исходящих запросов.

Имя файла-подписи формируется как "Имя файла-запроса".sig

Установка и настройка

Подготовка к установке

На сервере Avanpost PKI подготовьте папки для настройки Offline УЦ:

C:\AP\OfflineUC\Outbox - для исходящих запросов;
C:\AP\OfflineUC\Inbox - для входящих сертификатов;
C:\AP\OfflineUC\Error - для сертификатов, обработанных с ошибками;
C:\AP\OfflineUC\Finished - для сертификатов, обработанных без ошибок

Установка сертификата и ключа подписи исходящих запросов

Если необходим функционал подписи исходящих запросов, то установите его на сервере Avanpost PKI. Avanpost PKI поддерживает только RSA-сертификаты подписи исходящих запросов. Далее приведены шаги по установке RSA-сертификата с условием, что сертификат предварительно выпущен и получен вместе с закрытом ключом в формате PFX:

Запустите оснастку mmc;
Добавьте в нее оснастку Certificates - Computer - Local computer:
Раскройте раздел Personal - Certificates;
Импортируйте PFX в данный раздел;
Установите полные права на импортированный сертификат для учетной записи локального компьютера

Установка коннектора к Offline УЦ

Библиотека коннектора к Offline УЦ идет в поставке дистрибутива Avanpost PKI (Avanpost.PKI.Server) и не требует дополнительных действий по установке.

Настройка Удостоверяющего центра в Avanpost PKI

Для настройки Удостоверяющего центра Offline УЦ в Avanpost PKI аутентифицируйтесь в веб-приложении Avanpost PKI Web от имени администратора и перейдите в раздел Настройки - Настройки УЦ:

Добавьте новый УЦ нажав "Добавить новый УЦ...";
Введите имя нового УЦ (например, "Offline УЦ АО "Аванпост" - ГОСТ");
Выберите Тип УЦ - "Offline УЦ";
Заполните параметры конфигурации коннектора к Offline УЦ - укажите полные пути до папок, настроенных на этапе подготовки;
Если функционал подписи исходящих запросов не планируется к использованию, то не заполняйте значение параметра "Серийный номер сертификата для подписи сообщений";
Сохраните настройку УЦ

Вы можете настроить неограниченное число экземпляров Offline УЦ в Avanpost PKI и разделить их по разным папкам.

Подключение Offline УЦ (через "воздушный зазор")