Практическая реализация регламентов деятельности удостоверяющего центра и настройка компонентов "КриптоПро УЦ"

РАЗДЕЛ 1. Угрозы и риски

• Угрозы и риски в системах электронного документооборота (ЭДО). Зависимость рисков в системе ЭДО от характера и масштаба ведения бизнеса. Методы снижения рисков в системах ЭДО при использовании ЭЦП.

РАЗДЕЛ 2. Составляющие инфраструктуры Удостоверяющего Центра "КриптоПро УЦ"

• Обзор основных компонентов инфраструктуры «КриптоПро УЦ». Средство криптографической защиты информации (СКЗИ) КриптоПро CSP. Средство сетевой аутентификации КриптоПро TLS. Центр сертификации (ЦС). Центр регистрации (ЦР). Автоматизированное рабочее место (АРМ) администратора ЦР. АРМ разбора конфликтных ситуаций. АРМ зарегистрированного пользователя с маркерным доступом. АРМ зарегистрированного пользователя с ключевым доступом. АРМ регистрации пользователей. "Электронный замок".
• Размещение программных компонентов «КриптоПро УЦ» на технических средствах. Типовая схема размещения компонентов. Использование аппаратных криптографических модулей. Схемы взаимодействия компонентов.
• Дополнительные компоненты инфраструктуры. "КриптоПро Winlogon", «КриптоПро OCSP», «КриптоПро TSP».

РАЗДЕЛ 3. Регламенты оказания услуг УЦ в зависимости от поставленных задач

• Режимы регистрации пользователей УЦ. Централизованный и распределенный режимы регистрации.
• Управление ключами и сертификатами открытых ключей пользователей УЦ. Централизованный и распределенный режимы управления.
• Регламенты оказания услуг УЦ. Типовые регламенты:



• Регистрация пользователей в централизованном режиме по «не доверенной» схеме и распределенное управление ключами и сертификатами пользователя.
• Регистрация пользователей в централизованном режиме по «доверенной» схеме и распределенное управление ключами и сертификатами пользователя.
• Регистрация пользователей в централизованном режиме и централизованное управление ключами и сертификатами пользователя.
• Регистрация пользователей в распределенном режиме и распределенное управление ключами и сертификатами пользователя.
• Регистрация пользователей в распределенном режиме и распределенное управление ключами и сертификатами пользователя с автоматической регистрацией.
• Регистрация пользователей в распределенном режиме и распределенное управление ключами и сертификатами пользователя с автоматической регистрацией и автоматическим выпуском служебного сертификата.

РАЗДЕЛ 4. Техническая реализация регламента оказания услуг УЦ настройками программных компонентов

• Создание и регистрация объектных идентификаторов в «КриптоПро УЦ». Получение и регистрация частного номера организации. Настройка программного обеспечения Центра Сертификации. Обеспечение пользователей УЦ информацией по объектным идентификаторам.
• Создание новых шаблонов сертификатов в «КриптоПро УЦ».
• Изменение ролевой схемы и создание новых ролей в «КриптоПро УЦ». Добавление новой системной роли.
• Настройка политик Центра регистрации в соответствии с ролевым подходом в «КриптоПро УЦ». Настройка политики обработки запросов на регистрацию пользователей и на получение сертификата.
• Настройка распространения сертификатов и списков отозванных сертификатов. Настройка точек распространения списка отозванных сертификатов (СОС) CRL Distribution Point (CDP) и точки распространения сертификатов издателя Authority Information Access (AIA). Публикация списков отозванных сертификатов. Задания публикации СОС и практика их применения.

РАЗДЕЛ 5. Конфигурирование УЦ «КриптоПро УЦ» для оказания услуг малым и средним предприятиям и организациям

• Особенности оказания услуг удостоверяющего центра малым предприятиям.
• Пример корпоративной информационной системы (КИС). Схема взаимодействия участников КИС. Использование сертификатов в КИС. Управление ключами и сертификатами.
• Пример регламента оказания услуг. Регистрация пользователя в УЦ и изготовление сертификата ключа подписи. Аннулирование (отзыв) сертификата ключа подписи Пользователя УЦ. Приостановление действия сертификата ключа подписи Пользователя УЦ. Возобновление действия сертификата ключа подписи Пользователя УЦ. Подтверждение подлинности ЭЦП в электронном документе. Подтверждение подлинности ЭЦП уполномоченного лица УЦ в изданных сертификатах. Прочие условия. Структура сертификатов ключей подписей и сроки действия ключевых документов.
• Техническая реализация регламента.



• Создание нового модуля подключения центра регистрации «КриптоПро УЦ». Создание новой базы данных Центра регистрации КриптоПро УЦ. Создание нового WEB-сайта. Создание модуля подключения.
• Разработка ролевой модели управления ключами и сертификатами. Регистрация необходимых объектных идентификаторов (OID). Формирование шаблонов сертификатов.
• Настройка Центра сертификации для издания сертификатов с данными областями использования ключа и расширениями. Добавление областей использования ключа. Добавление расширений сертификатов.
• Настройка политик выдачи и отзыва сертификатов. Подготовка к выпуску сертификата в соответствии с регламентом централизованной регистрации и централизованного управления ключами.
• Настройка разрешений в соответствии с ролевой моделью. Настройка разрешений для роли «Аудитор».
• Настройка CDP и AIA для издаваемых сертификатов. Настройка правил формирования CDP и AIA для издаваемых сертификатов. Настройка регламентных заданий для переноса СОС на CDP
• Издание сертификатов привилегированных пользователей и подключение АРМ администратора. Получение сертификата “Аудитора”.
• Издание сертификатов пользователей. Получение сертификата "Бухгалтера".
• Применение сертификатов пользователя. Установка полученных сертификатов и СОС на компьютере пользователя. Подписание документов на компьютере пользователя. Проверка ЭЦП на компьютере получателя.

РАЗДЕЛ 6. Конфигурирование «КриптоПро УЦ» для оказания услуг крупным предприятиям и организациям

• Особенности оказания услуг удостоверяющего центра крупному бизнесу.
• Пример корпоративной информационной системы. Схема взаимодействия участников КИС. Использование сертификатов в КИС. Управление ключами и сертификатами.
• Пример регламента. Регистрация пользователя в УЦ и изготовление сертификата ключа подписи. Аннулирование (отзыв) сертификата ключа подписи Пользователя УЦ. Приостановление действия сертификата ключа подписи Пользователя УЦ. Возобновление действия сертификата ключа подписи Пользователя УЦ. Подтверждение подлинности ЭЦП в электронном документе. Подтверждение подлинности ЭЦП уполномоченного лица УЦ в изданных сертификатах. Прочие условия. Структура сертификатов ключей подписей и сроки действия ключевых документов.
• Техническая реализация регламента.
  
  
  • Создание нового модуля подключения центра регистрации «КриптоПро УЦ». Создание новой базы данных Центра регистрации КриптоПро УЦ. Создание нового WEB-сайта. Создание нового модуля подключения центра регистрации «КриптоПро УЦ».
  • Разработка ролевой модели управления ключами и сертификатами. Регистрация необходимых объектных идентификаторов (OID). Формирование шаблонов сертификатов.
  • Настройка ЦС для издания сертификатов с данными областями использования ключа и расширениями. Добавление областей использования ключа. Добавление расширений сертификатов.
  • Настройка политик выдачи и отзыва сертификатов. Подготовка к выпуску сертификата в соответствии с регламентом централизованной регистрации и централизованного управления ключами.
  • Настройка разрешений в соответствии с ролевой моделью. Настройка разрешений для роли «RemoteOper».
  • Настройка CDP и AIA для издаваемых сертификатов. Настройка правил формирования CDP и AIA для издаваемых сертификатов. Настройка регламентных заданий для переноса СОС на CDP.
• Издание сертификатов привилегированных пользователей и подключение АРМ администратора. Получение сертификатов «Аудитора» и «RemoteOper»
• Создание удаленного АРМа администратора «КриптоПро УЦ». Установка сертификата «RemoteOper». Подключение Удаленного АРМ.
• Издание сертификатов пользователей. Получение сертификата “Сертификат входа со смарт-картой” и “Сертификат контроллера домена (winlogon)”.
• Настройка домена. Настройка контроллеров домена. Настройка входа пользователя со смарт-картой.
• Применение сертификатов пользователя. Вход в Windows по сертификатам. Использование сертификатов для запуска программ от имени другого пользователя. Терминальный доступ с аутентификацией на сертификатах. Защищенная электронная почта.
• Использование дополнительных служб в инфраструктуре открытых ключей.
  
  
  • Установка и настройка OCSP сервера. Создание экземпляра Службы. Разграничение доступа к Службе. Управление операторами Службы. Настройка Службы. Режим работы с базой данных Центра регистрации КриптоПро УЦ. Режим работы со списком отзыва сертификатов. Параметры запуска.
  • Установка и настройка «КриптоПро Revocation Provider». Настройка через групповые политики Windows.
  • Установка и настройка TSP (Time Stamping Protocol) сервера. Создание экземпляра Службы. Разграничение доступа к Службе. Права доступа к Службе. Управление операторами Службы. Управление сертификатами оператора. Настройки Службы. Запуск Службы. Проверка работоспособности Службы.

РАЗДЕЛ 7. Конфигурирование «КриптоПро УЦ» для оказания услуг удаленным клиентам

• Особенности оказания услуг УЦ удаленным клиентам.
• Пример корпоративной информационной системы (КИС). Схема взаимодействия участников КИС. Использование сертификатов в КИС. Управление ключами и сертификатами.
• Пример регламента. Корпоративная информационная система (КИС). Схема взаимодействия участников КИС. Использование сертификатов в КИС. Управление ключами и сертификатами. Регламент (выписка). Порядок предоставления и пользования услугами УЦ . Регистрация пользователя в УЦ и изготовление первого сертификата ключа подписи. Изготовление и получение ключей подписей и сертификата ключа подписи. Аннулирование (отзыв) сертификата ключа подписи Пользователя УЦ. Приостановление действия сертификата ключа подписи Пользователя УЦ. Возобновление действия сертификата ключа подписи Пользователя УЦ. Подтверждение подлинности ЭЦП в электронном документе. Подтверждение подлинности ЭЦП уполномоченного лица УЦ в изданных сертификатах. Прочие условия. Структура сертификатов ключей подписей и сроки действия ключевых документов.
• Техническая реализация регламента.



• Создание нового модуля подключения Центра регистрации «КриптоПро УЦ». Создание новой базы данных ЦР «КриптоПро УЦ». Создание нового WEB-сайта. Создание нового модуля подключения ЦР «КриптоПро УЦ».
• Разработка ролевой модели управления ключами и сертификатами. Регистрация необходимых объектных идентификаторов (OID). Формирование шаблонов сертификатов.
• Настройка ЦС для издания сертификатов с данными областями использования ключа и расширениями.
• Настройка политик выдачи и отзыва сертификатов. Подготовка к выпуску сертификата в соответствии с регламентом централизованной регистрации пользователей и централизованного управления ключами.
• Настройка CDP и AIA для издаваемых сертификатов. Настройка правил формирования CDP и AIA для издаваемых сертификатов. Настройка регламентных заданий для переноса СОС на CDP.
• Настройки оборудования и программного обеспечения «КриптоПро УЦ» для работы с удаленными клиентами.
• Издание сертификатов пользователей.

РАЗДЕЛ 8. Поддержка процедур обеспечения непрерывности и восстановления деятельности удостоверяющего центра

• План обеспечения непрерывности бизнеса и восстановления функционирования.
• Восстановление Центра сертификации «КриптоПро УЦ». Установка общесистемного программного обеспечения. Установка СКЗИ «КриптоПро CSP». Установка сертификата ЦС. Установка службы сертификации Microsoft Certificate Authority. Установка утилит ЦС. Установка сертификата WEB-сервера ЦС. Установка программного обеспечения Центра сертификации ПК «КриптоПро УЦ». Настройка программного обеспечения ЦС «КриптоПро УЦ».
• Восстановление Центра регистрации «КриптоПро УЦ». Установка общесистемного программного обеспечения. Установка СКЗИ «КриптоПро CSP». Установка утилит ЦР. Установка сертификата ЦС. Установка сертификата WEB-сервера ЦР. Установка программного обеспечения Центра регистрации «КриптоПро УЦ». Установка сертификата ЦР. Восстановление Базы данных ЦР. Настройка программного обеспечения ЦР «КриптоПро УЦ».
• Восстановление АРМ администратора Центра регистрации «КриптоПро УЦ». Установка общесистемного программного обеспечения и СКЗИ «КриптоПро CSP». Установка программного обеспечения АРМ администратора Центра регистрации «КриптоПро УЦ». Установка сертификата ЦС. Установка сертификата привилегированного пользователя.
• Заключительные рекомендации.

Итоговый зачет.