КриптоПро OCSP
ПАК "КриптоПро OCSP" предназначен для выполнения в составе сертифицированного ФСБ России удостоверяющего центра функций установления статуса сертификатов на основе протокола OCSP (Online Certificate Status Protocol). Использование ПАК "КриптоПро OCSP" позволяет участникам информационных систем получать актуальную информацию о статусе сертификатов открытых ключей. По сравнению с использованием списков отозванных сертификатов (Certificate Revocation List - CRL) использование OCSP-службы имеет следующие преимущества:
- Информация о статусе сертификатов, представляемая ПАК "КриптоПро OCSP", более актуальна по причине того, что данная служба за информацией о статусе сертификата может обращаться напрямую в Реестр Удостоверяющего центра – Базу данных Центра Регистрации или Центра Сертификации ПАК "КриптоПро УЦ"
- OCSP-ответ службы ПАК "КриптоПро OCSP" фиксирован и сравнительно мал, тогда как списки отозванных сертификатов могут иметь большой объём. Это позволяет уменьшить время реакции пользовательских приложений, а также может иметь решающее значение при создании долговременного архива документов с электронной цифровой подписью (электронной подписью) для уменьшения объёма хранимых данных
- Применение ПАК "КриптоПро OCSP" позволяет установить единую точку получения информации о статусе сертификатов, при использовании в информационной системе нескольких Удостоверяющих центров. Указанная служба обеспечит сбор списков отозванных сертификатов, публикуемых этими Удостоверяющими центрами, и на базе информации, содержащейся в этих списках, информировать участников информационных систем о статусе сертификатов посредством OCSP-ответов
В состав ПАК "КриптоПро OCSP" входят следующие компоненты:
- КриптоПро OCSP Server
- КриптоПро OCSP Client
- КриптоПро Revocation Provider
Структурная схема компонент ПАК "КриптоПро OCSP" отражена на рисунке ниже.
КриптоПро OCSP Server
- Реализует протокол OCSP поверх HTTP в соответствии с RFC 2560 с учётом использования российских криптографических алгоритмов
- Использует встроенный веб-сервер Microsoft Internet Information Services (IIS), поддерживающий различные методы аутентификации и протокол TLS (SSL)
- Поддерживает развёртывание нескольких экземпляров службы на одном компьютере
- Реализует разграничение доступа по списку контроля доступа, что позволяет задать ролевое разграничение доступа. Возможна посменная работа нескольких операторов службы, каждый из которых обладает своим ключом подписи OCSP-ответов
- Поддерживает одновременное использование нескольких криптопровайдеров (CSP) на разных экземплярах службы. Например, один экземпляр может работать с использованием СКЗИ "КриптоПро CSP", другой - с использованием криптопровайдера "Microsoft Base CSP"
КриптоПро OCSP Client
"КриптоПро OCSP Client" представляет собой программную библиотеку, предоставляющую программный интерфейс встраивания этой библиотеки в конкретные прикладные системы для работы с протоколом OCSP. "КриптоПро OCSP Client" не имеет выделенного дистрибутива, его установка должна производиться совместно с установкой продукта, который использует его программный интерфейс. Модули для интеграции "КриптоПро OCSP Client" в установочный пакет другого продукта включены в комплект средств разработки "КриптоПро PKI SDK" вместе с соответствующим руководством разработчика.
КриптоПро Revocation Provider
- Встраивает проверку статуса сертификатов по протоколу OCSP во все приложения операционной системы, работающие через CryptoAPI
- Не требует модификации приложений, работающих через CryptoAPI, для использования своих возможностей
- Автоматически проверяет статусы сертификатов OCSP-серверов
- Автоматически проверяет, уполномочен ли OCSP-сервер Удостоверяющим центром, издавшим проверяемый сертификат, выдавать информацию о статусе данного сертификата
- Настраивается через групповые политики
- Даёт возможность настройки доверия к конкретным OCSP-серверам
- При невозможности установления статуса сертификата по протоколу OCSP передаёт его в Microsoft Revocation Provider, который проводит проверку по СОС
- Может осуществлять соединения по защищённому протоколу TLS (SSL)