Публикация списков отозванных сертификатов
Одной из задач, возлагаемых на Удостоверяющий Центр, является обеспечение участников информационных систем, в которых используются сертификаты открытых ключей, информацией, необходимой для определения статуса (действительности) сертификатов открытых ключей, издаваемых Удостоверяющим Центром.
Одним из механизмов определения статуса сертификатов открытых ключей является использование списков отозванных сертификатов (СОС, CRL).
Для обеспечения автоматизации процедур распространения списков отозванных сертификатов (CRL, СОС), издаваемых Центром Сертификации, в рамках одного Удостоверяющего Центра, и по иерархии в случае использования подчиненных УЦ, на Центре регистрации используются задания публикации СОС, реализованные в программных компонентах Центра Сертификации и Центра Регистрации.
При этом задания публикации СОС на ЦР должны использоваться совместно с заданием публикации СОС и настройками модуля выхода на ЦС.
Общая схема взаимодействия задания публикации СОС на Центре Сертификации и Центре Регистрации приведена на рисунке 3.
Практика применения заданий зависит от регламента и режима работы Удостоверяющего Центра.
Режим 1: Головной удостоверяющий центр без сетевого соединения с подчиненными УЦ.
Используются следующие задания на ЦР:
Задание получения СОС из сетевого ресурса CDP своего ЦС в локальную папку CDP. Это задание будет доставлять на ЦР СОС, изданные «своим» ЦС.
Задание копирования СОС из локальной папки CDP на дискету. Это задание будет копировать на магнитную дискету 3,5” файлы с СОС, полученные предыдущим заданием.
Используются следующие задания на ЦС:
Модуль выхода Крипто-Про УЦ. Модуль выхода будет обеспечивать формирование файла с CRL и заносить его в сетевой ресурс CDP Центра Сертификации.
Режим 2: Подчиненный УЦ не имеющий сетевого соединения с вышестоящим УЦ (головным или вышестоящим по иерархии) и имеющий сетевое соединение с нижестоящими УЦ и/или предоставляющий сетевой доступ к файлам СОС, расположенным в сетевом ресурсе CDP Центра Регистрации, для пользователей.
Используются следующие задания на ЦР:
Задание публикации СОС с дискеты на сетевой ресурс incoming своего ЦС. Это задание будет доставлять с ЦР СОС, расположенные на магнитной дискете 3,5” и полученные с вышестоящего УЦ.
Задание получения СОС из сетевого ресурса CDP своего ЦС в локальную папку CDP. Это задание будет доставлять на ЦР СОС, изданные «своим» ЦС и полученные из вышестоящего УЦ.
Используются следующие задания на ЦС:
Модуль выхода Крипто-Про УЦ. Модуль выхода будет обеспечивать формирование файла с CRL и заносить его в сетевой ресурс CDP Центра Сертификации.
Задание доставки СОС. Задание обеспечивает репликацию файлов с CRL из папки incoming Центра Сертификации в домашний каталог папки CDP этого же Центра Сертификации.
Режим 3: Подчиненный УЦ не имеющий сетевого соединения с вышестоящим УЦ (головным или вышестоящим по иерархии) и не имеющий сетевого соединения с нижестоящими УЦ и/или не предоставляющий сетевой доступ к файлам СОС, расположенным в сетевом ресурсе CDP Центра Регистрации, для пользователей.
Используются следующие задания на ЦР:
Задание публикации СОС с дискеты на сетевой ресурс incoming своего ЦС. Это задание будет доставлять с ЦР СОС, расположенные на магнитной дискете 3,5” и полученные с вышестоящего УЦ.
Задание получения СОС из сетевого ресурса CDP своего ЦС в локальную папку CDP. Это задание будет доставлять на ЦР СОС, изданные «своим» ЦС и полученные из вышестоящего УЦ.
Задание копирования СОС из локальной папки CDP на дискету. Это задание будет копировать на магнитную дискету 3,5” файлы с СОС, полученные предыдущим заданием.
Используются следующие задания на ЦС:
Модуль выхода Крипто-Про УЦ. Модуль выхода будет обеспечивать формирование файла с CRL и заносить его в сетевой ресурс CDP Центра Сертификации.
Задание доставки СОС. Задание обеспечивает репликацию файлов с CRL из папки incoming Центра Сертификации в домашний каталог папки CDP этого же Центра Сертификации.
Режим 4: Подчиненный УЦ имеющий сетевое соединение с вышестоящим УЦ (головным или вышестоящим по иерархии) и не имеющий сетевого соединения с нижестоящими УЦ и/или не предоставляющий сетевой доступ к файлам СОС, расположенным в сетевом ресурсе CDP Центра Регистрации, для пользователей.
Используются следующие задания на ЦР:
Задание публикации СОС из сетевого ресурса CDP ЦР вышестоящего ЦС на сетевой ресурс incoming своего ЦС. Это задание будет доставлять из ЦР вышестоящего УЦ файлы с СОС и помещать их для обработки в «свой» ЦС.
Задание получения СОС из сетевого ресурса CDP своего ЦС в локальную папку CDP. Это задание будет доставлять на ЦР СОС, изданные «своим» ЦС и полученные из вышестоящего УЦ.
Задание копирования СОС из локальной папки CDP на дискету. Это задание будет копировать на магнитную дискету 3,5” файлы с СОС, полученные предыдущим заданием.
Используются следующие задания на ЦС:
Модуль выхода Крипто-Про УЦ. Модуль выхода будет обеспечивать формирование файла с CRL и заносить его в сетевой ресурс CDP Центра Сертификации.
Задание доставки СОС. Задание обеспечивает репликацию файлов с CRL из папки incoming Центра Сертификации в домашний каталог папки CDP этого же Центра Сертификации.
Режим 5: Подчиненный УЦ имеющий сетевое соединение с вышестоящим УЦ (головным или вышестоящим по иерархии) и имеющий сетевое соединение с нижестоящими УЦ и/или предоставляющий сетевой доступ к файлам СОС, расположенным в сетевом ресурсе CDP Центра Регистрации, для пользователей.
Используются следующие задания на ЦР:
Задание публикации СОС из сетевого ресурса CDP ЦР вышестоящего ЦС на сетевой ресурс incoming своего ЦС. Это задание будет доставлять из ЦР вышестоящего УЦ файлы с СОС и помещать их для обработки в «свой» ЦС.
Задание получения СОС из сетевого ресурса CDP своего ЦС в локальную папку CDP. Это задание будет доставлять на ЦР СОС, изданные «своим» ЦС и полученные из вышестоящего УЦ.
Используются следующие задания на ЦС:
Модуль выхода Крипто-Про УЦ. Модуль выхода будет обеспечивать формирование файла с CRL и заносить его в сетевой ресурс CDP Центра Сертификации.
Задание доставки СОС. Задание обеспечивает репликацию файлов с CRL из папки incoming Центра Сертификации в домашний каталог папки CDP этого же Центра Сертификации.
Рисунок 3. Схема взаимодействия заданий публикации СОС на ЦС и ЦР