КриптоПро OCSP

ПАК "КриптоПро OCSP" предназначен для выполнения в составе сертифицированного ФСБ России удостоверяющего центра функций установления статуса сертификатов на основе протокола OCSP (Online Certificate Status Protocol). Использование ПАК "КриптоПро OCSP" позволяет участникам информационных систем получать актуальную информацию о статусе сертификатов открытых ключей. По сравнению с использованием списков отозванных сертификатов (Certificate Revocation List - CRL) использование OCSP-службы имеет следующие преимущества:

  • Информация о статусе сертификатов, представляемая ПАК "КриптоПро OCSP", более актуальна по причине того, что данная служба за информацией о статусе сертификата может обращаться напрямую в Реестр Удостоверяющего центра – Базу данных Центра Регистрации или Центра Сертификации ПАК "КриптоПро УЦ"
  • OCSP-ответ службы ПАК "КриптоПро OCSP" фиксирован и сравнительно мал, тогда как списки отозванных сертификатов могут иметь большой объём. Это позволяет уменьшить время реакции пользовательских приложений, а также может иметь решающее значение при создании долговременного архива документов с электронной цифровой подписью (электронной подписью) для уменьшения объёма хранимых данных
  • Применение ПАК "КриптоПро OCSP" позволяет установить единую точку получения информации о статусе сертификатов, при использовании в информационной системе нескольких Удостоверяющих центров. Указанная служба обеспечит сбор списков отозванных сертификатов, публикуемых этими Удостоверяющими центрами, и на базе информации, содержащейся в этих списках, информировать участников информационных систем о статусе сертификатов посредством OCSP-ответов

В состав ПАК "КриптоПро OCSP" входят следующие компоненты:

  • КриптоПро OCSP Server
  • КриптоПро OCSP Client
  • КриптоПро Revocation Provider

Структурная схема компонент ПАК "КриптоПро OCSP" отражена на рисунке ниже.

КриптоПро OCSP

КриптоПро OCSP Server

  • Реализует протокол OCSP поверх HTTP в соответствии с RFC 2560 с учётом использования российских криптографических алгоритмов
  • Использует встроенный веб-сервер Microsoft Internet Information Services (IIS), поддерживающий различные методы аутентификации и протокол TLS (SSL)
  • Поддерживает развёртывание нескольких экземпляров службы на одном компьютере
  • Реализует разграничение доступа по списку контроля доступа, что позволяет задать ролевое разграничение доступа. Возможна посменная работа нескольких операторов службы, каждый из которых обладает своим ключом подписи OCSP-ответов
  • Поддерживает одновременное использование нескольких криптопровайдеров (CSP) на разных экземплярах службы. Например, один экземпляр может работать с использованием СКЗИ "КриптоПро CSP", другой - с использованием криптопровайдера "Microsoft Base CSP"

КриптоПро OCSP Client

"КриптоПро OCSP Client" представляет собой программную библиотеку, предоставляющую программный интерфейс встраивания этой библиотеки в конкретные прикладные системы для работы с протоколом OCSP. "КриптоПро OCSP Client" не имеет выделенного дистрибутива, его установка должна производиться совместно с установкой продукта, который использует его программный интерфейс. Модули для интеграции "КриптоПро OCSP Client" в установочный пакет другого продукта включены в комплект средств разработки "КриптоПро PKI SDK" вместе с соответствующим руководством разработчика.

КриптоПро Revocation Provider

  • Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI
  • Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей
  • Автоматически проверяет статусы сертификатов OCSP-серверов
  • Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата
  • Настраивается через групповые политики
  • Даёт возможность настройки доверия к конкретным OCSP-серверам
  • При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС
  • Может осуществлять соединения по защищённому протоколу TLS (SSL)

Подробнее о продукте КриптоПро OCSP