Классический процесс выпуска сертификата предполагает определенный порядок действий, включающий в себя: подготовку ключевого носителя, создание запроса на выдачу сертификата путем внесения данных по пользователю и создание ключевой пары, запись выпущенного сертификата на ключевой носитель и т.д. Все указанные процедуры требуют ручного ввода данных и осуществляются в разных приложениях, что занимает значительное время ответственного администратора. Когда в день выпускаются сотни сертификатов, а зачастую перевыпуск сертификатов осуществляется одномоментно и тогда их счет может идти уже на тысячи – объемы трудозатрат специалистов становятся более чем заметны. Снизить нагрузку на администраторов можно за счет автоматизации процесса с выполнением всех действий по выпуску сертификата в «едином окне».
Интерфейс администратора безопасности Avanpost PKI представляет собой web-приложение с повышенным юзабилити и возможностью вывода функциональных и контрольных виджетов на дашборд (рабочий стол). Функционал консоли позволяет осуществлять как операционное управление, включающее управление сертификатами и ключевыми носителями, учет лицензий и дистрибутивов СКЗИ, так и настройку основных параметров, например, шаблонов запросов на сертификат, параметров подключения к УЦ, атрибутов доступа к функционалу и данным системы.
В соответствии с требованиями нормативных документов по криптографической защите необходимо осуществлять поэкземплярный учет криптографических средств, ключевых документов и носителей в соответствующих журналах. Это предполагает фиксирование всего движения лицензий и дистрибутивов СКЗИ, ключевых документов, usb-токенов и смарт-карт с закреплением их за ответственными пользователями. В организации, где количество обслуживаемых пользователей больше тысячи, с годами журналы поэкзмеплярного учета могут занимать целые шкафы документов. При этом вероятность ошибки значительно повышается. Ведение журналов поэкземплярного учета допускается в электронном виде, поэтому автоматизация соответствующего процесса в едином и удобном приложении не только сократит время ответственных специалистов, но и позволит хранить в актуальном состоянии всю необходимую информацию по движению СКЗИ.
При необходимости все хранимые в Avanpost PKI данные по учету СКЗИ можно распечатать в форме журнала поэкзмеплярного учета или схемы криптографической защиты. Для этого в системе предусмотрен функционал отчетности, который позволяет использовать как предустановленные шаблоны отчетов, так и самостоятельно конструировать их формы.
Для того, чтобы снизить риски компрометации криптографических ключей и ключевых носителей необходимо осуществлять ряд контрольных мероприятий, включающих: аудит изменения кадровой информации и статуса владельца сертификата; управление парольными политиками ключевых носителей; контроль сроков действия сертификатов и т.д. Ручное выполнение указанных процедур становится нереальным со значительным ростом числа сертификатов и обслуживаемых пользователей. Выходом из этой ситуации может стать использование специальной системы, предназначенной для сбора, обработки и представление ответственным специалистам всей необходимой информации для автоматизированного управления жизненным циклом сертификатов и ключевых носителей.
В Avanpost PKI можно задать несколько типов одновременно поддерживаемых ключевых носителей. Т.е. при создании запроса на сертификат система сама определит какой ключевой носитель администратор установил в компьютер и предложит создать на нем ключевой контейнер. Это позволяет достичь универсальности и не ограничивать выбор производителя ключевого носителя. На сегодняшний день поддерживается все популярные модели usb-токенов и смарт-карт, как eToken, ruToken, ESMART, JaCarta, MS_KEY, YubiKey, KAZTOKEN и другие.
Как правило, любая крупная организация может использовать несколько удостоверяющих центров для разных целей. Например, выпуск сертификатов для юридически значимого документооборота осуществляется на аккредитованном УЦ на базе продуктов Крипто-Про, а для удаленной аутентификации используется центр сертификации MS CA. Поэтому Avanpost PKI поддерживает одновременную работу с несколькими УЦ на базе программных решений разных производителей. Выбор УЦ определяется шаблоном запроса на сертификат, который указывается при создании запроса. На текущий момент поддерживаются наиболее популярные реализации УЦ: Крипто-Про УЦ 1.5, Крипто-Про УЦ 2.0, Microsoft CA, RSA Keon 6.0, Валидата 1.0, Checkpoint, ViPNet и другие.
Процесс выпуска сертификата включает не только действия администратора, но и подготовку соответствующей заявки пользователем. При этом данная заявка может требовать дополнительные согласования, например, непосредственным руководителем или администратором безопасности филиала. Поэтому наличие удобного сервиса самообслуживания, где пользователь сможет быстро составить запрос на выпуск сертификата, когда система сама подставит все необходимые данные пользователя, а согласующее лицо одобрить или отклонить его одним кликом мыши, - позволит значительно повысить эффективность всего процесса. Также данный сервис может являться едином центром управления всеми криптографическими объектами пользователя, в том числе ключевыми носителями, и предоставлять соответствующую вспомогательную информацию, например, как напоминания об окончании срока действия сертификата