Avanpost CA
Ваш корпоративный центр сертификации, высокотехнологичное решение, настроенное под бизнес-процессы и требования вашего бизнеса.
Cпособен полностью обеспечить потребность в сертификатах для современных гибридных IT-инфраструктур:
01
02
04
03
Полностью заменяет Microsoft CA для Windows-инфраструктур
Решает задачи выпуска и управления технологическими сертификатами для Linux-инфраструктур
Обладает интерфейсами для обслуживания сетевого оборудования и других компонентов IT-ландшафта
Способен обеспечить выпуск сертификатов для мобильных устройств на iOS/Android
Avanpost CA
Больше об Avanpost CA
Оставьте свои контакты
и мы свяжемся с вами!
Avanpost CA
Функциональные задачи:
Avanpost CA будет полезен организациям для решения следующих задач:
Autoenrollment сертификатов в Linux
Автоматически выпускает и обновляет сертификаты для компьютеров и серверов на базе ОС Linux, входящих в домен DS:
- Надежная аутентификация через Kerberos.
- Разграничение доступа к шаблонам по группам безопасности домена.
- Поддержка доменных политик.
Сертификаты для всей инфраструктуры
Обеспечивает удобную работу по выпуску и контролю жизненного цикла сертификатов для всех объектов корпоративной IT-инфраструктуры:
- Выпуск сертификатов для Linux-инфраструктуры.
- Выпуск сертификатов для Windows-инфраструктуры.
- Выпуск сертификатов для «недоменных устройств».
- Выпуск сертификатов, необходимых для поддержания в интересах гибридных инфраструктур и систем контейнерной виртуализации.
Обеспечивает выполнение требований регуляторов
Преимущества Avanpost CA
Соответствие регламентам
Avanpost CA функционирует в полном соответствии с международными стандартами, регламентирующими принципы PKI и X.509, и способен полностью обеспечить потребности современной компании в сертификатах. Поддерживает иерархию PKI, что позволяет построить на базе этого продукта инфраструктуру любого масштаба.
Нет необходимости использовать несколько центров сертификации под разные задачи и процессы:
Поддерживает как зарубежную (RSA, ECDSA*, EDDSA*), так и отечественную криптографию, реализованную на базе российских ГОСТ-криптоалгоритмов.
Поддерживает набор PKI-протоколов, позволяющих автоматически выпускать и обновлять сертификаты для обширного перечня сетевого оборудования и различных устройств, работающих на разных ОС (Windows, Linux, Mac, iOS, *nix-системы).
Универсальность продукта для использования в разнообразном окружении:
Все популярные в РФ ОС Linux, в том числе Astra Linux, OC «Альт», «Ред ОС».
Переход с Microsoft CA — сразу и без задержек
Обеспечивает бесшовную миграцию с Microsoft CA, не требуется длительного периода параллельной работы двух сервисов и ожидания истечения срока действия сертификатов, выпущенных Microsoft CA.
Универсальное решение для любой инфраструктуры
Универсальность продукта для использования в гибридной среде. Deployment-схемы могут быть реализованы в виртуальной среде:
На физических серверах:
- Классическая и контейнерная виртуализация.
На физических серверах:
- Классическая установка на собственных серверах.
- Поставка в форме физического appliance (ПАК).
Полная автономность — никаких лишних слоев
Не требует дополнительной среды исполнения в виде виртуальной машины (Java, CLR .Net), т.к. язык Go компилируется непосредственно в машинный код и исполняется на физическом процессоре.
Совместимость с любыми Postgres-аналогами
Нет ограничений по использованию СУБД: PostgreSQL, Postgres Pro, Tantor и прочие Postgres-like СУБД.
Удобство и функциональность интерфейса
Web-интерфейс легковесный и выполнен в стиле продуктов компании:
- Обеспечивает получение наглядной статистики и отчетов.
- Поддерживает функции smart-поиска.
- Поддерживает темы и языки (rus / en).
Обеспечивает выполнение требований законодательства в области импортозамещения:
- Указ Президента Р Ф от 30.03.2022 № 166.
- Указ Президента Р Ф от 01.05.2022 № 250.
- Указ Президента Р Ф от 07.05.2018 № 214.
- Приказы Министерства цифрового развития № 334 от 04.07.2017 и № 335 от 04.07.2018.
Технологическая реализация сценариев использования
Валидация сертификатов
Проверка действительности сертификатов может быть выполнена как по спискам отозванных сертификатов (CRL), так и online, с использованием встроенного сервиса OCSP (Online Certificate Status Protocol).
Выпуск сертификатов для систем контейнерной виртуализации
Таким системам (например, OpenShift) доступны сервисы выпуска сертификатов для контейнеров по протоколу SCEP.
Использование единого центра сертификации позволяет объединить классическую и контейнерную ветки PKI и обеспечить сквозное доверие между этими разнородными инфраструктурами.
Выпуск сертификатов для Windows-инфраструктуры
Компьютеры под управлением Windows являются членами домена Active Directory, который связан двусторонними трастами с доменом DS, — обеспечивает их аутентификацию в CA (с использованием Kerberos).
Выпуск сертификатов осуществляется по протоколу MS-WSTEP (нативный для Windows 7 и выше).
Выпуск сертификатов для «недоменных устройств»
Для компьютеров и устройств под управлением MacOS и iOS (через промежуточные MDM-системы: Jamf, AirWatch, MobileIron, MS Intune и т. д.), а также для сетевых устройств и оборудования Cisco.
Выпуск сертификатов для Linux-инфраструктуры
Компьютеры под управлением Linux являются членами домена DS и получают/обновляют сертификаты через доменные политики и клиент DS.
Дополнительный сценарий 2 — автоматизация управления
Подключение к Avanpost IDM позволит автоматизировать управление каталогом субъектов и их группами и правами доступа к прикладным сервисам.
Дополнительный сценарий 1 — строгая аутентификация
Сертификат аутентификации записывается на rutoken через личный кабинет, а затем применяется для строгой аутентификации пользователей при доступе к прикладным сервисам через Avanpost FAM.
Мониторинг и реагирование на события инфраструктуры открытых ключей
Система Avanpost PKI осуществляет мониторинг различных параметров и событий, позволяя реализовать автоматические сценарии реагирования: например, информировать пользователей и администраторов через электронную почту или систему агентов, а также автоматически запускать нужные процессы и сценарии обработки.
В частности, система отслеживает срок действия сертификата, уведомляет о его скором истечении и запускает процесс перевыпуска.
В частности, система отслеживает срок действия сертификата, уведомляет о его скором истечении и запускает процесс перевыпуска.
Самообслуживание обычных пользователей
В Avanpost PKI Пользователи имеют доступ в личный кабинет, где им доступна:
- Информация о своих сертификатах и токенах.
- Возможность быстро и просто получить новый сертификат и записать его на токен.
Компьютеры под управлением Linux являются членами домена DS и получают/обновляют сертификаты через доменные политики и клиент DS.
Компьютеры под управлением Windows являются членами домена Active Directory, который связан двусторонними трастами с доменом DS, — обеспечивает их аутентификацию в CA (с использованием Kerberos).
Выпуск сертификатов осуществляется по протоколу MS-WSTEP (нативный для Windows 7 и выше).
Выпуск сертификатов осуществляется по протоколу MS-WSTEP (нативный для Windows 7 и выше).
Для компьютеров и устройств под управлением MacOS и iOS (через промежуточные MDM-системы: Jamf, AirWatch, MobileIron, MS Intune и т. д.), а также для сетевых устройств и оборудования Cisco.
Таким системам (например, OpenShift) доступны сервисы выпуска сертификатов для контейнеров по протоколу SCEP.
Использование единого центра сертификации позволяет объединить классическую и контейнерную ветки PKI и обеспечить сквозное доверие между этими разнородными инфраструктурами.
Использование единого центра сертификации позволяет объединить классическую и контейнерную ветки PKI и обеспечить сквозное доверие между этими разнородными инфраструктурами.
Проверка действительности сертификатов может быть выполнена как по спискам отозванных сертификатов (CRL), так и online, с использованием встроенного сервиса OCSP (Online Certificate Status Protocol).
В Avanpost PKI Пользователи имеют доступ в личный кабинет, где им доступна:
- Информация о своих сертификатах и токенах.
- Возможность быстро и просто получить новый сертификат и записать его на токен.
Система Avanpost PKI осуществляет мониторинг различных параметров и событий, позволяя реализовать автоматические сценарии реагирования: например, информировать пользователей и администраторов через электронную почту или систему агентов, а также автоматически запускать нужные процессы и сценарии обработки.
В частности, система отслеживает срок действия сертификата, уведомляет о его скором истечении и запускает процесс перевыпуска.
В частности, система отслеживает срок действия сертификата, уведомляет о его скором истечении и запускает процесс перевыпуска.
Сертификат аутентификации записывается на rutoken через личный кабинет, а затем применяется для строгой аутентификации пользователей при доступе к прикладным сервисам через Avanpost FAM.
Подключение к Avanpost IDM позволит автоматизировать управление каталогом субъектов и их группами и правами доступа к прикладным сервисам.
Высокий уровень безопасности
Написан на Go (Golang) без использования уязвимых Open Source-библиотек, что исключает риски, связанные с уязвимостями в сторонних компонентах.
Отсутствие зависимостей от импортных технологий
RBAC на основе LDAP/Kerberos:
- Выпуск сертификатов возможен только для авторизованных субъектов (пользователей, компьютеров, сервисов).
- Администрирование CA доступно только членам определённых доменных групп.
- Аудит всех операций (кто, когда и какой сертификат выпустил или отозвал).
Строгий контроль доступа через доменные политики
- Онлайн-проверка статуса сертификатов через OCSP (Online Certificate Status Protocol).
- Оффлайн-валидация через регулярно обновляемые CRL (Certificate Revocation Lists).
Защищённые протоколы и механизмы проверки
Разделение ролей CA:
- Корневой CA хранится оффлайн (в HSM или на изолированном сервере).
- Промежуточные CA используются для повседневных операций, что позволяет ограничить ущерб в случае их компрометации.
- Нет доступа к закрытым ключам для рядовых пользователей и администраторов сервисов.
Изоляция критичных компонентов
- MitM-атак: обязательная проверка сертификатов через OCSP/CRL.
- Подделки сертификатов: строгая привязка субъектов к доменным учётным записям.
Защита от современных угроз
Сердце Identity Security:
DS + CA + PKI
Каждое решение Avanpost имеет свою функциональную роль, они эффективно дополняют друг друга
Единая экосистема цифровых удостоверений
Интегрированный комплекс российских решений, способный полностью обеспечить потребность в сертификатах для современных гибридных IT-инфраструктур. Рассматривает сертификат как полноценное цифровое удостоверение.
Современные цифровые инфраструктуры базируются на концепции доверия. В открытых сетях, где взаимодействует множество участников, центры сертификации выполняют функцию доверенной третьей стороны (Trusted Third Party, TTP), предоставляющей механизмы для идентификации и проверки подлинности участников.
- Avanpost DS — служба каталогов как базовое ядро комплекса: каталог субъектов и объектов, а также мощные инструменты управления ими и богатый набор доменных сервисов.
- Avanpost CA — центр сертификации как сервис цифровых удостоверений: доверенный и доступный всем субъектам, выдает и валидирует сертификаты для всех субъектов комплекса (пользователи, компьютеры, сервисы).
Инфраструктурный уровень
Avanpost PKI — платформа PKI для управления цифровыми удостоверениями: упрощает учет и контроль за сертификатами, облегчает получение сертификатов для обычных пользователей, автоматизирует процессы выдачи и обновления сертификатов в рамках комплекса.
Прикладной уровень
Autoenrollment сертификатов в Linux
Проблематика:
Отсутствие единых стандартов управления сертификатами
Отсутствие понятия корпоративного центра сертификации
Отсутствие универсальных инструментов автоматического развертывания сертификатов
Вопросы обеспечения безопасности доступа к сервисам CA и хранению ключей
Отсутствие единых механизмов логирования и мониторинга
Вопросы оркестрации сертификатов в контейнерных средах и проблема сквозного доверия между ветками PKI
Avanpost CA является полноценным доменным сервисом сертификации для домена Avanpost DS. Оба продукта разработаны с использованием единых технологий, что обеспечивает их тесную и бесшовную интеграцию «из коробки».
Autoenrollment сертификатов в Linux и домене DS
Какие задачи выполняет Avanpost CA:
- Выпуск сертификатов для компьютеров Linux на основании доменных политик DS.
- Автоматический перевыпуск согласно настройкам шаблонов и срокам действия.
- Автоматическую публикацию корневых сертификатов и CRL в структуре LDAP-каталога DS.
- Автоматическую публикацию сертификатов пользователей и компьютеров домена DS в профили (учетные записи) LDAP-каталога.
Какие задачи выполняет Avanpost DS:
- Надежную аутентификацию компьютеров Linux при доступе к сервисам CA с использованием Kerberos.
- Доменный клиент (CLI) для реализации доменных политик и доступа к сервисам CA для получения и проверки сертификатов.
- Разграничение доступа к функциям администрирования и шаблонам CA через доменные группы.
- Автоматическую доставку и обновление корневых и промежуточных сертификатов и CRL в локальных хранилищах компьютеров Linux.
Готовое решение задачи от одного вендора
