Меню 1 (mobile)
Меню 4 доки (mobile)
Avanpost CA
Ваш корпоративный центр сертификации, высокотехнологичное решение настроенное под бизнес процессы и требования вашего бизнеса.
Cпособен полностью обеспечить потребность в сертификатах для современных гибридных IT-инфраструктур:
01
02
04
03
Полностью заменяет Microsoft CA для Windows-инфраструктур
Решает задачи выпуска и управления технологическими сертификатами для Linux-инфраструктур
Обладает интерфейсами для обслуживания сетевого оборудования и других компонентов ИТ-ландшафта
Способен обеспечить выпуск сертификатов для мобильных устройств на iOS/Android
Avanpost CA
Функциональные задачи:
Avanpost CA будет полезен организациям для решения следующих задач:
Autoenrollment сертификатов в Linux
Автоматически выпускает и обновляет сертификаты для компьютеров и серверов на базе ОС Linux, входящих в домен DS:
- надежная аутентификация через Kerberos
- разграничение доступа к шаблонам по группам безопасности домена
- поддержка доменных политик
Autoenrollment сертификатов в Linux
Обеспечивает удобную работу по выпуску и контролю жизненного цикла сертификатов для всех объектов корпоративной ИТ-инфраструктуры:
- Выпуск сертификатов для Linux-инфраструктуры
- выпуск сертификатов для Windows-инфраструктуры
- выпуск сертификатов для «недоменных устройств»
- выпуск сертификатов необходимых для поддержания в интересах гибридных инфраструктур и систем контейнерной виртуализации
Обеспечивает выполнение требований регуляторов
Avanpost Device Control на практике
Все устройства как на ладони
Вы не можете защитить то, чего не видите. Видимость устройств — первый шаг
к установлению доверия к ним и ключевой элемент стратегии Zero Trust. Avanpost Device Control предоставляет возможность использовать функциональность идентификации устройств даже без агента, позволяя увидеть каждое устройство пользователя, и быть уверенными
в соблюдении политик при каждой аутентификации.
Нет необходимости использовать несколько центров сертификации под разные задачи и процессы:
поддерживает как зарубежную (RSA, ECDSA*, EDDSA*), так и отечественную криптографию, реализованную на базе российских ГОСТ-криптоалгоритмов.
поддерживает набор PKI-протоколов, позволяющих автоматически выпускать и обновлять сертификаты для обширного перечня сетевого оборудования и различных устройств, работающих на разных ОС (Windows, Linux, Mac, iOS, *nix-системы)
Универсальность продукта для использования в разнообразном окружении окружения:
все популярные в РФ ОС Linux, в том числе Astra Linux, OC «Альт», «Ред ОС»
Переход с Microsoft CA — сразу и без задержек
Обеспечивает бесшовную миграцию с Microsoft CA, не требуется длительного периода параллельной работы двух сервисов и ожидания истечения срока действия сертификатов, выпущенных Microsoft CA
Универсальное решение для любой инфраструктуры
Универсальность продукта для использования в гибридной среде. Deployment-схемы могут быть реализованы в виртуальной среде: классическая и контейнерная виртуализация; на физических серверах: классическая установка на собственных серверах; поставка в форме физического appliance (ПАК)
Полная автономность — никаких лишних слоев
Не требует дополнительной среды исполнения в виде виртуальной машины (Java, CLR .Net), т.к. язык Go компилируется непосредственно в машинный код и исполняется на физическом процессоре
Совместимость с любыми Postgres-аналогами
Нет ограничений по использованию СУБД: PostgreSQL, Postgres Pro, Tantor и прочие Postgres-like СУБД
Удобство и функциональность интерфейса
web-интерфейс легковесный и выполнен в стиле продуктов компанииобеспечивает получение наглядной статистики и отчетов;поддерживает функции smart-поиска;поддерживает темы и языки (rus / en);
Обеспечивает выполнение требований законодательства в области импортозамещения:
Указ Президента РФ от 30.03.2022 № 166
Указ Президента РФ от 01.05.2022 № 250
Указ Президента РФ от 07.05.2018 № 214
Приказы Министерства цифрового развития № 334 от 04.07.2017 и № 335 от 04.07.2018
Указ Президента РФ от 01.05.2022 № 250
Указ Президента РФ от 07.05.2018 № 214
Приказы Министерства цифрового развития № 334 от 04.07.2017 и № 335 от 04.07.2018
Технологическая реализация сценариев использования
Самообслуживание обычных пользователейPKI
Выпуск сертификатов
для Linux-инфраструктуры
Мониторинг и реагирование на события инфраструктуры открытых ключей
Выпуск сертификатов
для Windows-инфраструктуры
Дополнительный сценарий 1 –
строгая аутентификация
Дополнительный сценарий 2 – автоматизация управления
Выпуск сертификатов
для «недоменных устройств»
Выпуск сертификатов для систем контейнерной виртуализации
Валидация сертификатов
Самообслуживание обычных пользователей
В Avanpost PKI Пользователи имеют доступ в личный кабинет, где им доступна:
- информация о своих сертификатах и токенах
- возможность быстро и просто получить новый сертификат и записать его на токен
Мониторинг и реагирование на события инфраструктуры открытых ключей
Система Avanpost PKI отслеживает различные параметры и события и позволяет реализовать сценарии автоматизированного реагирования на них: от информирования пользователей и администраторов по электронной почте и через систему агентов, до автоматического запуска сценариев и процессов их обработки, например, отслеживает срок действия сертификата, уведомляет о его скором истечении и запускает процесс его перевыпуска
Дополнительный сценарий 1 — строгая аутентификация
Сертификат аутентификации записывается на rutoken через личный кабинет, а затем применяется для строгой аутентификации пользователей на доступ к прикладным сервисам через Avanpost FAM
Дополнительный сценарий 2 — автоматизация управления
Подключение к Avanpost IDM позволит автоматизировать управление каталогом субъектов и их группами и правами доступа к прикладным сервисам
Выпуск сертификатов для Linux-инфраструктуры
Компьютеры под управлением Linux являются членами домена DS и получают/обновляют сертификаты через доменные политики и клиент DS
Выпуск сертификатов для Windows-инфраструктуры
Компьютеры под управлением Windows являются членами домена Active Directory, который связан двусторонними трастами с доменом DS, — обеспечивает их аутентификацию в CA (с использованием Kerberos);Выпуск сертифик атов осуществляется по протоколу MS-WSTEP (нативный для Windows 7 и выше)
Выпуск сертификатов для «недоменных устройств»
Для компьютеров и устройств под управлением MacOS и iOS (через промежуточные MDM-системы: Jamf, AirWatch, MobileIron, MS Intune и т. д.), а также для сетевых устройств и оборудования Cisco
Выпуск сертификатов для «недоменных устройств»
Для компьютеров и устройств под управлением MacOS и iOS (через промежуточные MDM-системы: Jamf, AirWatch, MobileIron, MS Intune и т. д.), а также для сетевых устройств и оборудования Cisco
Валидация сертификатов
Проверка действительности сертификатов может быть выполнена как по спискам отозванных сертификатов (CRL), так и online, с использованием встроенного сервиса OCSP
PKI
PKI
PKI
PKI
DS и CA
DS и CA
DS и CA
DS и CA
DS и CA
DS и AC
Компьютеры под управлением Linux являются членами домена DS и получают/обновляют сертификаты через доменные политики и клиент DS
Компьютеры под управлением Windows являются членами домена Active Directory, который связан двусторонними трастами с доменом DS, — обеспечивает их аутентификацию в CA (с использованием Kerberos);Выпуск сертифик атов осуществляется по протоколу MS-WSTEP (нативный для Windows 7 и выше)
Для компьютеров и устройств под управлением MacOS и iOS (через промежуточные MDM-системы: Jamf, AirWatch, MobileIron, MS Intune и т. д.), а также для сетевых устройств и оборудования Cisco
Таким системам (например, OpenShift) доступны сервисы выпуска сертификатов для контейнеров по протоколу SCEP;Использование единого центра сертификации позволяет объединить классическую и контейнерную ветки PKI и обеспечить сквозное доверие между этими разнородными инфраструктурами
Проверка действительности сертификатов может быть выполнена как по спискам отозванных сертификатов (CRL), так и online, с использованием встроенного сервиса OCSP
DS и AC
В Avanpost PKI Пользователи имеют доступ в личный кабинет, где им доступна:
- информация о своих сертификатах и токенах
- возможность быстро и просто получить новый сертификат и записать его на токен
Система Avanpost PKI отслеживает различные параметры и события и позволяет реализовать сценарии автоматизированного реагирования на них: от информирования пользователей и администраторов по электронной почте и через систему агентов, до автоматического запуска сценариев и процессов их обработки, например, отслеживает срок действия сертификата, уведомляет о его скором истечении и запускает процесс его перевыпуска
Сертификат аутентификации записывается на rutoken через личный кабинет, а затем применяется для строгой аутентификации пользователей на доступ к прикладным сервисам через Avanpost FAM
Подключение к Avanpost IDM позволит автоматизировать управление каталогом субъектов и их группами и правами доступа к прикладным сервисам
Высокий уровень безопасности
Написан на Go (Golang) без использования уязвимых Open Source-библиотек, что исключает риски, связанные с уязвимостями в сторонних компонентах
Отсутствие зависимостей от импортных технологий
RBAC на основе LDAP/Kerberos:
- Выпуск сертификатов возможен только для авторизованных субъектов (пользователей, компьютеров, сервисов).
- Администрирование CA доступно только членам определённых доменных групп.
Строгий контроль доступа через доменные политики
- Онлайн-проверка статуса сертификатов через OCSP (Online Certificate Status Protocol).
- Оффлайн-валидация через регулярно обновляемые CRL (Certificate Revocation Lists).
Защищённые протоколы и механизмы проверки
Разделение ролей CA:
- Корневой CA хранится оффлайн (в HSM или на изолированном сервере).
- Промежуточные CA используются для повседневных операций, что ограничивает ущерб при компрометации.
Изоляция критичных компонентов
- MitM-атак: обязательная проверка сертификатов через OCSP/CRL.
- Подделки сертификатов: строгая привязка субъектов к доменным учётным записям.
Защита от современных угроз
Сердце Identity Security:
DS + CA + PKI
Каждое решение (продукт) Avanpost имеет свою функциональную роль, они эффективно дополняют друг друга.
Единая экосистема цифровых удостоверений
Интегрированный комплекс российских решений, способный полностью обеспечить потребность в сертификатах для современных гибридных IT-инфраструктур. Рассматривает сертификат как полноценное цифровое удостоверение.
Современные цифровые инфраструктуры базируются на концепции доверия. В открытых сетях, где взаимодействуют множество участников, центры сертификации выполняют функцию доверенной третьей стороны (Trusted Third Party, TTP), предоставляющей механизмы для идентификации и проверки подлинности участников
- Avanpost DS — служба каталогов как базовое ядро комплекса: каталог субъектов и объектов +мощные инструменты управления ими и богатый набор доменных сервисов
- Avanpost CA — центр сертификации как сервис цифровых удостоверений: доверенный идоступный всем субъектам, выдает и валидирует сертификаты для всех субъектов комплекса (пользователи, компьютеры, сервисы.
Инфраструктурный уровень
Avanpost PKI — платформа PKI для управления цифровыми удостоверениями: упрощает учет и контроль за сертификатами, облегчает получение сертификатов для обычных пользователей, автоматизирует процессы выдачи и обновления сертификатов в рамках комплекса.
Прикладной уровень
Autoenrollment сертификатов в Linux
Проблематика:
Отсутствие единых стандартов управления сертификатами
Отсутствие понятия корпоративного центра сертификации
Отсутствие универсальных инструментов автоматического развертывания сертификатов
Вопросы к безопасности доступа к сервисам CA и хранению ключей
Отсутствие единых механизмов логирования и мониторинга
Вопросы оркестрации сертификатов в контейнерных средах и проблема сквозного доверия между ветками PKI
Avanpost CA является полноценным доменным сервисом сертификации для домена Avanpost DS. Оба продукта разработаны с использованием единых технологий, что обеспечивает их тесную и бесшовную интеграцию «из коробки»
Autoenrollment сертификатов в Linux и домене DS
Какие задачи выполняет Avanpost CA:
- выпуск сертификатов для компьютеров Linux на основании доменных политик DS
- автоматический перевыпуск согласно настройкам шаблонов и срокам действия
- автоматическую публикацию корневых сертификатов и CRL в структуре LDAP-каталога DS
- автоматическую публикацию сертификатов пользователей и компьютеров домена DS в профили (учетные записи) LDAP-каталога
Какие задачи выполняет Avanpost DS:
- надежную аутентификацию компьютеров Linux при доступе к сервисам CA с использованием Kerberos
- доменный клиент (CLI) для реализации доменных политик и доступа к сервисам CA для получения и проверки сертификатов
- разграничение доступа к функциям администрирования и шаблонам CA через доменные группы
- автоматическую доставку и обновление корневых и промежуточных сертификатов и CRL в локальных хранилищах компьютеров Linux
Готовое решение задачи от одного вендора
129085, г. Москва ул. Годовикова, д. 9, стр. 17
Форма
для вопросов
для вопросов
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности.
Все права защищены, © Avanpost 2025
Контакты
Сообщение об успешной отправке!