КриптоПро OCSP

Полное наименование изделия: Программно-аппаратный комплекс "Службы УЦ. КриптоПро OCSP".

Сокращенное наименование изделия: ПАК "КриптоПро OCSP".

В состав ПАК "КриптоПро OCSP" входят следующие компоненты:

• КриптоПро OCSP Server;
• КриптоПро OCSP Client;
• КриптоПро Revocation Provider.

Структурная схема компонент ПАК "КриптоПро OCSP" отражена на рисунке ниже.

КриптоПро OCSP Server

• Реализует протокол OCSP поверх HTTP в соответствии с RFC 2560 с учётом использования российских криптографических алгоритмов;
• Использует встроенный веб-сервер Microsoft Internet Information Services (IIS), поддерживающий различные методы аутентификации и протокол TLS (SSL);
• Поддерживает развёртывание нескольких экземпляров службы на одном компьютере;
• Может получать информацию о статусах сертификатов из следующих источников:
  • папка с одним или несколькими списками отозванных сертификатов (CRL);
  • база данных Центра Регистрации ПАК "КриптоПро УЦ";
  • база данных Службы сертификации – Microsoft Certification Authority (база данных Центра сертификации ПАК "КриптоПро УЦ"), которая обеспечивает наибольшую актуальность статусов сертификатов в OCSP-ответах.
• Реализует разграничение доступа по списку контроля доступа, что позволяет задать ролевое разграничение доступа. Возможна посменная работа нескольких операторов службы, каждый из которых обладает своим ключом подписи OCSP-ответов;
• Поддерживает одновременное использование нескольких криптопровайдеров (CSP) на разных экземплярах службы. Например, один экземпляр может работать с использованием СКЗИ "КриптоПро CSP", другой - с использованием криптопровайдера "Microsoft Base CSP".
• Устанавливается с помощью Windows Installer.

При совместной работе ПАК "КриптоПро УЦ" и ПАК "КриптоПро OCSP Server" для предоставления пользователям актуальной информации о статусах сертификатов по протоколу OCSP рекомендуется использовать совмещенный режим работы. При этом, в качестве источника информации о статусах сертификатов используются базы данных Центра Сертификации и Центра Регистрации ПАК "КриптоПро УЦ". 

КриптоПро OCSP Client

Компонента "КриптоПро OCSP Client" предназначена для обращения к серверу "КриптоПро OCSP Server" по протоколу OCSP поверх HTTP, получения от него OCSP-ответов, обработки и работы с OCSP-запросами и OCSP-ответами.

"КриптоПро OCSP Client" представляет собой программную библиотеку, предоставляющую программный интерфейс встраивания этой библиотеки в конкретные прикладные системы для работы с протоколом OCSP. "КриптоПро OCSP Client" не имеет выделенного дистрибутива, его установка должна производиться совместно с установкой продукта, который использует его программный интерфейс. Модули для интеграции "КриптоПро OCSP Client" в установочный пакет другого продукта включены в комплект средств разработки "КриптоПро PKI SDK" вместе с соответствующим руководством разработчика.

В состав ПАК "КриптоПро OCSP" входит приложение КриптоПро OCSPUTIL, предназначенное для работы с протоколом OCSP в командной строке. Данное приложение позволяет создавать OCSP-запросы, получать OCSP-ответы, сохранять запросы и ответы в файлы, обрабатывать их. КриптоПро OCSPUTIL для выполнения своих функций использует "КриптоПро OCSP Client", и содержит эту программную библиотеку в своём установочном пакете.

КриптоПро Revocation Provider

В операционных системах семейства Microsoft Windows встроена поддержка технологии Инфраструктуры открытых ключей. Многие приложения, работающие под управлением этих ОС, используют интерфейс CryptoAPI для осуществления функций криптографической защиты информации. Функции CryptoAPI используют, например, следующие приложения: Internet Explorer, Outlook Express, Outlook, Internet Information Server и др.

По умолчанию приложения, использующие CryptoAPI, осуществляют проверку статусов сертификатов с использованием списков отозванных сертификатов (СОС). СОС представляет собой список недействительных сертификатов, издаваемый периодически – например, раз в неделю. СОС не отражает информацию о статусах сертификатов в реальном времени, а также имеет ряд других недостатков, которых лишён протокол OCSP – протокол получения статуса сертификата в реальном времени. Режим установления статуса сертификатов по умолчанию реализован в модуле ОС – Microsoft Revocation Provider.

Но архитектура CryptoAPI предоставляет возможность подключения и внешних модулей проверки статуса сертификата. Таковым и является продукт "КриптоПро Revocation Provider", который предназначен для встраивания проверки статусов сертификатов открытых ключей в режиме реального времени по протоколу OCSP в операционные системы семейства Microsoft Windows. При этом менять что-либо в самих приложениях не требуется. "КриптоПро Revocation Provider" вызывается автоматически каждый раз, когда приложение осуществляет действия с сертификатом.

Схема встраивания "КриптоПро Revocation Provider" в операционные системы семейства Microsoft Windows представлена на рисунке:

Основные характеристики "КриптоПро Revocation Provider":

• Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI.
• Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей.
• Автоматически проверяет статусы сертификатов OCSP-серверов.
• Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата.
• Настраивается через групповые политики.
• Даёт возможность настройки доверия к конкретным OCSP-серверам.
• При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС.
• Может осуществлять соединения по защищённому протоколу TLS (SSL).
• Устанавливается с помощью Windows Installer.